Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

configurazione sicura per lan/wan

Malfunzionamenti della LAN, suggerimenti sulla condivisione e altro legato alle reti.

configurazione sicura per lan/wan

Messaggioda iLupus » mer mag 25, 2011 9:56 pm

Ciao a tutti.
Qui dove sto io (all'estero) internet è una megaLan senza tanta sicurezza, ecco perché il problema principale è configurare il router per non ritrovarsi qualche vandalo del web nella propria ARP list, come mi è già capitato. Basta un attimo di disattenzione e zzac, eccolo lì!
Io ho quindi pensato di prendere queste contromisure:
1) impostare un range di ip iniziale e finale del tipo 192.168.1.210 (ip iniziale) 192.168.1.212 (finale), quindi 3 ip lan, per tre computer connessi.
2a) mettere nell' "address reservation" i computer riservando gli IP in base ai Mac address, e mettere gli IP manuali su ogni PC
oppure
2b) disabilitare il DHCP del router e al posto dell'"address reservation" usare l'IP & Mac binding e vincolare i 3 IP a disposizione sempre per mezzo del mac address e impostare IP statici sui PC.
La logica (per entrambe le possibilità) sarebbe che se ci sono solo 3 ip disponibili e tutti sono vincolati a 3 PC connessi, dovrebbe essere impossibile a chiccessia di impossessarsi di uno di essi entrando nell'arp list della lan.
Nella descrizione dell'IP & Mac binding, dice che, per questa opzione, è auspicabile disabilitare il DHCP.
Vorrei sapere quale è la soluzione più blindata e radicale.
Grazie.
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Xero » ven giu 03, 2011 12:47 pm

È una rete cablata? Non ho ben capito lo scenario, cioè tu in casa hai il tuo router a cui connetti i tuoi 3 host? Se dici di ritrovarti nell'ARP Cache degli indirizzi che non conosci, è certo che vi sono altri utenti connessi al tuo stesso router; dall'esterno non è possibile inviare/ricevere messaggi ARP (sono limitati al dominio di broadcast, la tua LAN se sei separato dal resto del mondo tramite router)
twitter → http://twitter.com/Maurizio_D

«L'innovazione è una questione di priscio.» A. D'elia
Avatar utente
Xero
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5145
Iscritto il: mar giu 27, 2006 8:37 pm
Località: Provincia Di Matera / Bari

Re: configurazione sicura per lan/wan

Messaggioda iLupus » ven giu 03, 2011 3:37 pm

Si è cablata, e gli indirizzi incriminati appartengono alla rete wan, o lan grande se preferite...
Ma esistono anche gli hacker, evidentemente, e potrebbero anche non essere hacker sciolti, ma "governativi" (è così che girano ancora le cose qui nell'ex URSS...). Spie varie che ti spiano per conto dei servizi, e per questo non devi essere necessariamente un diplomatico. Basta essere una persona straniera un po' in vista. Ecco perché mi serve essere super sicuro.
Comunque tornando a chiodo, nell'arp list appaiono indirizzi di formato diverso da quelli della mia lan, formato che coincide perfetamente con quelli della lan (o wan?) locale. Allora io ho attivati il filtro IP, inibendo tutta la gamma di indirizzi della wan escluso il gateway, partendo dall'xx.xx.xxx.2 fino al xx.xx.xxx.256, e la storia è finita. Poi però ne è cominciata un'altra: mi ritrovavo indirizzi della lan interna associati a numeri di cartelle di rete (mac addresses) che non mi appartengono, e soprattutto se io ho due computer, non ce ne possono essere connessi 3 o 4... Ho quindi cambiato user e password mettendone una complicatissima tuttavia ogni tanto mi trovo un intruso nella mia lan: il log (che ho attivato dopo tutte ste robe) mi fa vedere attacchi ad ogni piè sospinto. So che è difficile da credere, ma qui è una vera jungla, ecco perché occorre usare tutti gli strumenti del router senza eccezione, per avere una sicurezza al di sopra di ogni tentativo. Io cambio password con il generatore di password ogni settimana, e mi studio le complicate istruzioni in inglese del router per scoprirne nuove opzioni.
Fra queste ci sono due possibilità di cui non so quale sia la più blindata:
1) limitare gli indirizzi del dhcp a quelli che si usano (solo 2) e riservare gli unici indirizzi disponibili ai due computer.
2) disabilitare il dhcp e vincolare gli indirizzi con ip binding. Mi pare (ma non ne sono sicuro) che disabilitando il dhcp si disabilità anche la possibilità di limitare la gamma di indirizzi ip disponibili nella lan del router.
Detto ciò attendo lumi. [:)]
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am


Re: configurazione sicura per lan/wan

Messaggioda QuickS » mar giu 14, 2011 12:49 pm

iLupus, ciao
Però credo che non consideri "l'effetto escalation" diciamo cosi, se c'è davvero qualcuno a livello governativo che monitora o comunque spia a tappeto tutti gli stranieri sara anche probabilmente strutturato a livelli, voglio dire: credo che non consideri che stai ingaggiando una sfida e piu tu prendi precauzioni piu ottieni solo di "dare nell'occhio" cioè renderti sospetto e ottenere che il tuo caso passa di livello superiore, da un livello generico di "semplice visitatore straniero" ad un livello di "gente che ha qualcosa da nascondere" e piu sali di livello piu loro passeranno il tuo caso a gente piu esperta e ovviamente piu atrezzata... insomma una sfida difficile da vincere anche per un professionista dell'haking, sei proprio sicuro che valga la pena mettersi in luce? non è meglio tenere un profilo basso e passare inosservati? [;)]
ciao
Avatar utente
QuickS
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: lun apr 20, 2009 1:22 pm

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 4:59 pm

Si la tua è un'osservazione logica tuttavia:
1) prima di tutto anche se si suppone, non si è comunque sicuri al 100% che si tratti di agenti governativi, e al di fuori di questo, ve ne sono anche di quelli che lo fanno in modo non ufficiale (servizi segreti deviati), e che quindi non hanno il "diritto" di "passare il mio caso a gente più esperta e attrezzata".
2) Non è che se all'aeroporto decidessero di mettere quegli scanner corporei che ti vedono nudo, allora vale la pena di andare in aeroporto direttamente nudi... [:D]
3) E' la mia privacy, e voglio essere sicuro al 100% di aver fatto tutto il possibile
4) Anche se dovessero passare le protezioni, comunque sia dal log non sfuggono, per cui a me interessa anche venirlo a sapere. Se io metto un profilo altissimo, e qualcuno riesce a entrare, è ovvio che ci sono certi tipi di attrezzature a cui possono accedere solo i governativi.
A questo punto si fa una denuncia per conoscenza dell'ambasciata e non è più così semplice. [;)]
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 6:18 pm

iLupus ha scritto:mi ritrovavo indirizzi della lan interna associati a numeri di cartelle di rete (mac addresses) che non mi appartengono

onestamente fatico a capire cosa vuoi dire con questa frase [uhm]
cosa significa numeri di cartelle di rete e che attinenza ha una risorsa come una cartella condivisa con un MAC Address?

una serie di chiarimenti
1 - come ha detto Xero, la arp list elenca le sole risorse locali quindi se rilevi dei mac sconosciuti (non IP), significa che in qualche modo sono fisicamente dentro la tua rete;
2 - DHCP o no attivato, chiunque imposti manualmente un indirizzo della tua subnet e vi sia collegato, non troverà alcun ostacolo all'utilizzo delle risorse presenti. Un server DHCP serve solo ad assegnare automaticamente degli IP e se escludiamo il blocco dei MAC offerti da apparati WiFi, non svolgono alcuna azione di di limitazione e di sicurezza;

purtroppo non hai fornito dettagli sulla tipologia di servizio che usi e del router (fornito dall'ISP? [uhm] ), se sei nattato tipo Fastweb oppure l'apparecchio è anche modem ADSL.

Comunque sia, direi che
- un firewall hardware tra la tua rete ed il tuo provider ci sta tutto
- una suite di sicurezza installata nei tuoi computer
- tenterei l'uso di Ubuntu (il più semplice per iniziare) tanto per rendere il lavoro meno semplice a chi cerca di ravanare nella tua rete

se posso fare delle supposizioni, potrebbe trattarsi di accessi ai danni del tuo router non aggiornato o adeguatamente protetto o nel quale sia attiva una backdoor, o più semplicemente uno dei tuoi PC è infetto e fa parte di una botnet che lo controlla da remoto.

Illazioni se ne possono fare a bizzeffe ma i dettagli che hai fornito sono scarsi e poco chiari (gli attacchi o invasioni presunte della tua rete e delle tue risorse con cosa le hai rilevate?) [;)]
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 7:29 pm

Configuazione della mia rete:
Modem adsl in modalità "bridge" TP-Link TD-8616
Router (no modem) TP-Link TL-R460
Macchine: 3
Sistemi Operativi: 2 linux (fedora 15), un mac (Mac OS X 10.6.7), di windows neanche l'ombra.
Un server DHCP serve solo ad assegnare automaticamente degli IP

Si ma se il router dispone di un menu che permette di stabilire quanti e quali indirizzi IP possano essere utilizzati dalla lan ed essi si possono vincolare ad un PC, se ci sono l'ip "1", "2", "3", e "4" (del quale per "1" si intende il router), se un quarto computer entra e vuole l'indirizzo "5" non può prenderlo da nessuna parte e s'attacca al c***°. Questo mi è chiaro, e non ho dubbi in merito. Di fatto io l'ho fatta così la rete (nella modalità che più in basso sarà indicata come prima), e non ho avuto problemi da qualche tempo (non è molto che l'ho fatta però)
La questione è che, la cosa che ho detto si può fare in due modi (vedendo dal manuale di istruzioni):
1) DHCP + address reservation + filtro mac address (che è quell'opzione che in genere c'è solo nel wi-fi, e che invece è disponibile anche sul mio router a cavo, vedi sito tp-link). Questa è la mia attuale configurazione.
2) Impostazione manuale di ogni computer + arp vincolata + filtro dei mac address: quest'ultima si può usare indifferentemente in modalità "DHCP attivo" e in modalità DHCP disattivato", mentre l'arp vinccolato si può usare solo in "DHCP disattivato" e "address reservation" solo con "DHCP attivo".
Io volevo sapere se è più blindata la soluzione 1 o la soluzione 2, che sono il massimo della sicurezza che il mio hardware (il router) può offrirmi, e volevo poter sfruttare la migliore.

In queste due soluzioni, cambiano gli strumenti di sicurezza, non cambia semplicemente il DHCP o il manuale, ma mentre in uno si deve utilizzare "address reservation" nell'altro si può utilizzare solo "arp vincolato", e non so quale dei due è il più blindato.
Impostare i parametri di connessione a mano non è un problema, come non è un problema quello automatico.

Poi alla sicurezza del singolo computer ci penso io, e se ho qualche dubbio vi chiedo, ma le opzioni per questo tipo di sicurezza personalmente non mi danno adito a dubbi.
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 7:42 pm

i
llazioni se ne possono fare a bizzeffe ma i dettagli che hai fornito sono scarsi e poco chiari (gli attacchi o invasioni presunte della tua rete e delle tue risorse con cosa le hai rilevate?)

1) con
Codice: Seleziona tutto
arp -a
dal terminale
2) con il menu arp list (interna) del router.
Per capirci: se io prendo il mio macbook e lo connetto direttamente al modem della w-lan del provider, con arp -a, o più semplicemente col finder del mio mac, mi vedo tutti i mac address e gli indirizzi ip di tutti, e se fossi poco onesto potrei entrarvici nell'80% minimo di essi, visto che quasi tutti utilizzano XP senza alcuna protezione [sbav] ...
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 7:50 pm

iLupus ha scritto:
Un server DHCP serve solo ad assegnare automaticamente degli IP

...se un quarto computer entra e vuole l'indirizzo "5" non può prenderlo da nessuna parte e s'attacca al c***°. Questo mi è chiaro, e non ho dubbi in merito.

purtroppo non è come dici, un server DHCP in quel caso non fornirebbe semplicemente l'indirizzo, ma se questo viene impostato a mano, il computer naviga eccome quindi è vero il contrario ed i dubbi dovresti farteli venire.
Non conosco però il tuo router quindi non so se al servizio DHCP è stato aggiunto un controllo per cui una macchina che non ha un indirizzo rilasciato da lui non è autorizzata a richiedere o inviare pacchetti sia ll'interno che all'esterno della rete.

Per toglierti ogni dubbio, dovresti provare ad impostare manualmente un indirizzo statico in uno dei tuoi compter attivando alternativamente le funzioni di cui parli, solo allora avrai la certezza che il router svolga una funzione di blocco.
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 7:58 pm

lo ho già fatto, e mi blocca sia in uno che nell'altro caso... ma io mica sono un professionista "perforatore di reti" [uhm]
Il controllo l'ho effettuato svolgendolo nella modalità 1 e 2.
Con il "vincolo dell'arp" (modalità 2 indirizzo manuale) il router "butta fuori" ad ogni 10 secondi circa, a turno uno dei due PC che ha lo stesso indirizzo ip, mentre con la 2, non permette tassativamente la cosa. Ecco perché o usato la prima. Ma sarà sufficiente come valutazione?
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 8:12 pm

o ti sei spiegato male ho sono io che non capisco [:D] ma con un po di pazienza ci arriviamo [^]

devi usare un IP che non è nel range di quelli rilasciati dal router.
Per capirci se il range prevedere 3 indirizzi:
192.168.1.2
192.168.1.3
192.168.1.4

per la prova dovrai impostare
192.168.1.5
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 8:36 pm

Dunque, avevi ragione, anche se uso address reserved/DHCP o manuale/arp vincolato è lo stesso.
Ossia, riferendoci alla tua tabella, io ho usato il 192.168.1.5 e si naviga, (porcazozz#]#∑¥‘) [weponed] e lo stesso con entrambe le modalità. Se invece uso un altro mac address mi blocca comunque (ma i veri hackers immagino che possano sniffare i mac address anche via cavo), mentre se io uso anche l'IP filter e imposto blocca gli IP dal 192.168.1.5 in su, a questo punto mi blocca in ogni caso [:)] .
Quindi capisco che dhcp o no la sicurezza non cambia, ma da altri fattori. Spero sia giusto...
Ma questi qua secondo voi, possono entrare nel menu del router e vedermi i mac address?
P.S. precedentemente mi hai chiesto qualcosa dell'aggiornamento del router, ho l'ultimo firmware che è uscito appena un mese fa.
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 8:47 pm

iLupus ha scritto:Ma questi qua secondo voi, possono entrare nel menu del router e vedermi i mac address?

alcune case produttrici impostano account non documentati per l'accesso ai loro apparati. Il problema è che qualche smanettone riesce sempre a ficcare il naso dove non dovrebbe (o più correttamente non dovrebbero esistere queste backdoor) e scopre questi tipi di accesso.
Se vogliamo volare con la fantasia, qualcuno potrebbe instaurare (di nascosto) una VPN tra la sua postazione ed il tuo router ed entrare quando vuole, con quel sistema avrebbe la piena visibilità di tutti gli IP e MAc della tua rete.
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 8:50 pm

Se vogliamo volare con la fantasia

Perché dici di fantasia? Vuol dire che qualche ostacolo c'è... [uhm] o no? [cry]
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 8:55 pm

il router dovrebbe avere qualche backdoor o difetto che consenta una operazione del genere e qualcuno dovrebbe essere motivato ad entrare nella tua rete.
Il tuo router è anche firewall?
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mar giu 14, 2011 8:59 pm

Il router è anche firewall, e io ho chiuso l'UPNP, e assegnato una porta assurda tipo 65xxx per entrare nel menu amministrativo e password di 15 caratteri alfanumerica.
Il motivo? Sono straniero e piuttosto conosciuto nel paese in cui vivo...
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am

Re: configurazione sicura per lan/wan

Messaggioda Al3x » mar giu 14, 2011 9:07 pm

per puro scrupolo verifica la sezione VPN e vedi se esistono connessioni impostate di qualche tipo, nel caso disabilita ciò che trovi (PPTP o L2TP).

notte, vado a nanna ;)
è primavera finalmente! [:)]
Avatar utente
Al3x
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 7418
Iscritto il: sab gen 10, 2009 12:51 pm
Località: http://127.0.0.1/

Re: configurazione sicura per lan/wan

Messaggioda iLupus » mer giu 15, 2011 12:46 am

Ti ringrazio, era tutto disabilitato. E' passato un po' di tempo ma alla fine mi avete chiarito le idee.
Secondo me all'inizio avete creduto che sono un troll.. ma non fa niente, adesso lo sapete, iLupus con i troll non ha nulla a che fare.
Ciao e di nuovo grazie.
Avatar utente
iLupus
Aficionado
Aficionado
 
Messaggi: 117
Iscritto il: mer ott 10, 2007 11:42 am


Torna a Reti e Internet

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising