Fastgate IP pubblico statico e sicurezza

[fabio81]

Ciao ragazzi,

mi sono appena fatto attivare un Ip pubblico statico con Fastweb in modo da poter accedere dall'esterno tramite wake on line verso il mac di casa(ibernato) e anche verso il Nas. So benissimo che sarà un'impresa molto difficile ma affronterò l'argomento in un futuro thread.
Nel frattempo però mi sono accorto leggendo su internet che avere un Ip pubblico statico può comportare seri problemi riguardo la sicurezza. Molti consigliano una rete Vpn con servizi a pagamento oppure "casalinga" ma mi sembra un procedimento un pò difficile. Visto che dovrò fare a breve l'acquisto per un router da collegare in cascata, mi sapete dare un consiglio su quale prendere e se magari c'è la possibilità di aumentare la sicurezza della rete?
Ringrazio tutti anticipatamente

[giostark]

Qui ci vogliono gli espertZ ma intanto posso dirti:
1)Configurazione porte , firewall e accessi del router.
2)Configurazione firewall del pc.
Bona.
Fare queste due cose bene gia' e' piuttosto sufficiente per un normale utente.
Pero' c'e' chi ste cose le fa di mestiere qui aggiro...aspettiamo il loro intervento.

[fabio81]

intanto grazie mille per il tuo intervento, in effetti ho il firewall sempre spento per problemi di conflitti con alcuni programmi! aggiungo qualche informazione in piu riguardo la mia configurazione, nella speranza che qualche esperto possa aiutarmi:

-ho un fastgate, da qui collegato uno switch 8 porte dove a sua volta sono collegati un Macpro e un Nas (qnap)
la mia intenzione sarebbe oltre che a creare una rete sicura e in futuro riuscire a poterci accedere da remoto, acquistare un router wifi da collegare in cascata dopo il fastgate.
I miei dubbi sono invece riguardo allo switch, non so se risulterà più necessario visto che ci sarà il nuovo router con a sua volta 3 porte libere. Se vi starete chiedendo perchè ho lo switch è perchè ogni tanto collego una secondo computer fisso.
Grazie ancora

[frakka]

Rispondo così mi resta l'iscrizione al thread, magari ci do un'occhiata stasera.

[frakka]

Ciao ragazzi,

mi sono appena fatto attivare un Ip pubblico statico con Fastweb in modo da poter accedere dall'esterno tramite wake on line verso il mac di casa(ibernato) e anche verso il Nas. So benissimo che sarà un'impresa molto difficile ma affronterò l'argomento in un futuro thread.

Potrebbe richiedere un modem un po' più avanzato di quello del provider (non ho il fastgate, solo in linea generale) perchè ci sono delle configurazioni particolari da fare in quanto il WoL è un protocollo per le reti locali, farlo funzionare attraverso internet richiede dei trucchi non sempre alla portata dei router home. Ma ci penseremo più avanti.

Nel frattempo però mi sono accorto leggendo su internet che avere un Ip pubblico statico può comportare seri problemi riguardo la sicurezza. Molti consigliano una rete Vpn con servizi a pagamento oppure "casalinga" ma mi sembra un procedimento un pò difficile. Visto che dovrò fare a breve l'acquisto per un router da collegare in cascata, mi sapete dare un consiglio su quale prendere e se magari c'è la possibilità di aumentare la sicurezza della rete?
Ringrazio tutti anticipatamente

Per andare su internet, a meno di configurazioni particolari come erano le prime reti Fastweb e che (a quanto ne so) non utilizza più nessun operatore nazionale, il router del provider riceve sempre un IP pubblico: Il fatto che il tuo sia statico rende solo più facile "ritrovarti" nel caso un attaccante riuscisse a individuare un servizio mal configurato o un debolezza da poter sfruttare.
Quindi, il fatto che sia statico, di per se non rende più "vulnerabile" la rete se non ci sono altri problemi.


Onestamente non ho idea di come accedere da remoto ad un Mac senza strumenti di terze parti come Teamviewer (e con questo tool non c'è bisogno della VPN)... Il NAS ovviamente non dovrà essere esposto in SMB o AFP perchè non sono protocolli adatti ad essere esposti su internet. Dovrei usare l'interfaccia web del NAS o un eventuale servizio FTP per accedere ai tuoi files ma, a meno che non vengano sfruttate vulnerabilità nel servizio esposto dal NAS (che NAS è?), non vedo particolari criticità.

[Matty90]

Potrebbe richiedere un modem un po' più avanzato di quello del provider (non ho il fastgate, solo in linea generale) perchè ci sono delle configurazioni particolari da fare in quanto il WoL è un protocollo per le reti locali, farlo funzionare attraverso internet richiede dei trucchi non sempre alla portata dei router home. Ma ci penseremo più avanti.

L'ultimo fastgate è abbastanza evoluto da permettere un port forwarding abbastanza furbo, quindi per farlo si dovrebbe poter riuscire. Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.

A livello di sicurezza, il fastgate ha un suo firewall che è già più che sufficiente per impedire accessi indesiderati.

Per ciò che riguarda invece l'accesso ai tuoi dispositivi, bisognerebbe capire cosa vorresti ottenere. Ad esempio:
- vuoi accedere ai file sul nas?
- vuoi accedere alla consolle web per la gestione del nas?
- vuoi solo accendere il mac e collegarti in altro modo?
- vuoi usare il mac da remoto in qualche modo?

In base a cosa vuoi ottenere ci sono soluzioni più o meno valide...

[frakka]

Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.

Ricordo che con un altro utente siamo riusciti a fare una cosa abbastanza intelligente, non mi ricordo i dettagli... Ci dovrei riguardare.

[fabio81]

L'ultimo fastgate è abbastanza evoluto da permettere un port forwarding abbastanza furbo, quindi per farlo si dovrebbe poter riuscire. Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.

A livello di sicurezza, il fastgate ha un suo firewall che è già più che sufficiente per impedire accessi indesiderati.

Per ciò che riguarda invece l'accesso ai tuoi dispositivi, bisognerebbe capire cosa vorresti ottenere. Ad esempio:
- vuoi accedere ai file sul nas?
- vuoi accedere alla consolle web per la gestione del nas?
- vuoi solo accendere il mac e collegarti in altro modo?
- vuoi usare il mac da remoto in qualche modo?

In base a cosa vuoi ottenere ci sono soluzioni più o meno valide...

Ciao intanto grazie mille! (non sono riuscito a fare il multiquota sul forum come fate voi perciò ti risponderò tutto assieme

Per quanto riguarda il Fastgate anche a me sembra abbastanza evoluto con possibilità di settare le porte IP con Mac address. Una cosa che manca però è la lista ARP.
Per il livello di sicurezza ho visto da poco il firewall del modem come dicevi tu e provvederò subito ad attivarlo.
Riguardo invece a quello che vorrei fare è poter accendere il MAcpro da remoto (preventivamente ibernato altrimenti sarebbe impossibile) e accendere anche il Nas in un secondo momento anche perchè per poter accedere all'interfaccia web, il Nas (Qnap T251) deve essere acceso da prima.
Riguardo il WOL del Nas ho visto che si può fare e anche lui dispone di Mac address con relativo IP, bisognerebbe solo riuscire a far arrivare il magic Pachet. In Passato riuscivo a farlo attivare stando però dentro la stessa rete e al momento riesco ad accendere anche il MacPro sempre stando dentro la stessa rete. Il Problema è riuscire a farlo da fuori.
Vi allego le schermate del Modem e se necessario son disponibile ad acquistare un router secondario da mettere in cascata.
grazie ancora!

[Matty90]

Ciao intanto grazie mille! (non sono riuscito a fare il multiquota sul forum come fate voi perciò ti risponderò tutto assieme

Per quanto riguarda il Fastgate anche a me sembra abbastanza evoluto con possibilità di settare le porte IP con Mac address. Una cosa che manca però è la lista ARP.
Per il livello di sicurezza ho visto da poco il firewall del modem come dicevi tu e provvederò subito ad attivarlo.
Riguardo invece a quello che vorrei fare è poter accendere il MAcpro da remoto (preventivamente ibernato altrimenti sarebbe impossibile) e accendere anche il Nas in un secondo momento anche perchè per poter accedere all'interfaccia web, il Nas (Qnap T251) deve essere acceso da prima.
Riguardo il WOL del Nas ho visto che si può fare e anche lui dispone di Mac address con relativo IP, bisognerebbe solo riuscire a far arrivare il magic Pachet. In Passato riuscivo a farlo attivare stando però dentro la stessa rete e al momento riesco ad accendere anche il MacPro sempre stando dentro la stessa rete. Il Problema è riuscire a farlo da fuori.
Vi allego le schermate del Modem e se necessario son disponibile ad acquistare un router secondario da mettere in cascata.
grazie ancora!

Dunque, tutti i dispositivi che possono essere connessi ad internet hanno un loro IP e un loro Mac Address. Se si può dire che il MAC address è univoco e individua uno ed un solo dispositivo, per l’ip la cosa si complica in quanto andrebbe fatta una distinzione tra ip pubblico (quindi quello che viene poi “visto” da internet) e quello privato (quindi interno, che conosci tu e chi gestisce la tua rete).

Detto questo, quello che serve sapere a te, purtroppo, sono sia il Mac che gli indirizzi sia pubblici che privati dei tuoi dispositivi. L’indirizzo pubblico sarà quello meno problematico essendo solamente uno: l’ip fisso che ti ha fornito fastweb.

Ora, conosciamo l’ip pubblico, diamo per scontato di sapere anche gli ip privati e i Mac dei nostri dispositivi (in quanto se non li sappiamo a memoria sono facilmente reperibili) e anche la porta a cui risponde il servizio di cui abbiamo bisogno, ovvero la porta 9UDP.

A questo punto viene il primo problema. Hai un solo ip pubblico, una sola porta a cui risponde un servizio, ma hai due apparati. Sarà quindi necessario mascherare le chiamate dall’esterno verso l’interno in modo da avere due “servizi” che chiamati opportunamente accenderanno uno dei due apparati.

Faccio un esempio pratico, che forse è più utile a capire il discorso:

- ip fisso (pubblico) fastweb: 95.18.200.200
- porta wol: 9UDP
- ip interno Mac: 192.168.1.5 settato come ip fisso dalla reservation DHCP del fastgate
- ip interno nas: 192.168.1.6 settato come ip fisso dalla reservation DHCP del fastgate
- port forwarding del fast gate impostato come “any-any allow” (sbagliatissimo ma è per fare un esempio pratico molto facile)

In questo caso, chiamando dall’esterno la porta UDP9 del tuo ip fisso, NESSUNO dei due dispositivi verrà acceso in quanto il tuo modem/router (il fastgate) non saprà a quale dei due dispositivi girare la richiesta in quanto in automatico la porta UDP9 verrà esposta verso l’esterno esattamente come tale.

Cambiando semplicemente il port forwarding impostando due porte esterne differenti e la 9UDP interna su ogni dispositivo avremo una cosa di questo tipo:

- 192.168.1.5 UDP9 -> port forwarding verso la porta udp 40019 esterna
- 192.128.1.6 UDP9 -> port forwarding verso la porta udp 40029 esterna

In questo caso, quando dall’esterno chiamerai l’ip fisso 95.18.200.200 sulla porta 40019 ti risponderà il Mac mentre sulla porta 40029 ti risponderà il NAS.

(Spiegazione semplificata e approssimativa, la configurazione potrebbe già funzionare ma non è scontato)

A questo punto bisognerà verificare che non ci siano altri impedimenti ad esempio firewall del Mac piuttosto che servizi di “blocco traffico” sul nas e sperimentare il tutto.

[fabio81]

Dunque, tutti i dispositivi che possono essere connessi ad internet hanno un loro IP e un loro Mac Address. Se si può dire che il MAC address è univoco e individua uno ed un solo dispositivo, per l’ip la cosa si complica in quanto andrebbe fatta una distinzione tra ip pubblico (quindi quello che viene poi “visto” da internet) e quello privato (quindi interno, che conosci tu e chi gestisce la tua rete).

Detto questo, quello che serve sapere a te, purtroppo, sono sia il Mac che gli indirizzi sia pubblici che privati dei tuoi dispositivi. L’indirizzo pubblico sarà quello meno problematico essendo solamente uno: l’ip fisso che ti ha fornito fastweb.

Ora, conosciamo l’ip pubblico, diamo per scontato di sapere anche gli ip privati e i Mac dei nostri dispositivi (in quanto se non li sappiamo a memoria sono facilmente reperibili) e anche la porta a cui risponde il servizio di cui abbiamo bisogno, ovvero la porta 9UDP.

A questo punto viene il primo problema. Hai un solo ip pubblico, una sola porta a cui risponde un servizio, ma hai due apparati. Sarà quindi necessario mascherare le chiamate dall’esterno verso l’interno in modo da avere due “servizi” che chiamati opportunamente accenderanno uno dei due apparati.

Faccio un esempio pratico, che forse è più utile a capire il discorso:

- ip fisso (pubblico) fastweb: 95.18.200.200
- porta wol: 9UDP
- ip interno Mac: 192.168.1.5 settato come ip fisso dalla reservation DHCP del fastgate
- ip interno nas: 192.168.1.6 settato come ip fisso dalla reservation DHCP del fastgate
- port forwarding del fast gate impostato come “any-any allow” (sbagliatissimo ma è per fare un esempio pratico molto facile)

In questo caso, chiamando dall’esterno la porta UDP9 del tuo ip fisso, NESSUNO dei due dispositivi verrà acceso in quanto il tuo modem/router (il fastgate) non saprà a quale dei due dispositivi girare la richiesta in quanto in automatico la porta UDP9 verrà esposta verso l’esterno esattamente come tale.

Cambiando semplicemente il port forwarding impostando due porte esterne differenti e la 9UDP interna su ogni dispositivo avremo una cosa di questo tipo:

- 192.168.1.5 UDP9 -> port forwarding verso la porta udp 40019 esterna
- 192.128.1.6 UDP9 -> port forwarding verso la porta udp 40029 esterna

In questo caso, quando dall’esterno chiamerai l’ip fisso 95.18.200.200 sulla porta 40019 ti risponderà il Mac mentre sulla porta 40029 ti risponderà il NAS.

(Spiegazione semplificata e approssimativa, la configurazione potrebbe già funzionare ma non è scontato)

A questo punto bisognerà verificare che non ci siano altri impedimenti ad esempio firewall del Mac piuttosto che servizi di “blocco traffico” sul nas e sperimentare il tutto.

molto bene sei stato chiarissimo e ora mi sembra di aver piu chiara la situazione, unico problema ora è metterci le mani heeh
il port forwarding lo posso fare con il Fastgate giusto? sarebbe la schermata (associa nuovo port mapping).. Ho provato ma mi dice che la porta 9 è assegnata per altri servizi Fastweb, ho provato anche altre porte ma son tutte assegnate, sono arrivato fino a 40010 e me la da libera.
Non ho capito come settare dalla reservation del Fastgate
Poi come ultima cosa volevo sapere se devo modificare l'Ip del fastgate presente sulla schermata (impostazione Lan su rete principale) oppure se devo associare l'ip che è presente ora con l'IP fisso che mi è stato assegnato (statico pubblico)

Ti ringrazio molto!