Fastgate IP pubblico statico e sicurezza

Pagina 1 di 6 1 2 3 4 5 6 ultimo
Visualizzazione dei risultati da 1 a 10 su 54
  1. #1
    bit
    Registrato
    Mar 2018
    Età
    36
    Messaggi
    29

    Predefinito Fastgate IP pubblico statico e sicurezza

    Ciao ragazzi,

    mi sono appena fatto attivare un Ip pubblico statico con Fastweb in modo da poter accedere dall'esterno tramite wake on line verso il mac di casa(ibernato) e anche verso il Nas. So benissimo che sarà un'impresa molto difficile ma affronterò l'argomento in un futuro thread.
    Nel frattempo però mi sono accorto leggendo su internet che avere un Ip pubblico statico può comportare seri problemi riguardo la sicurezza. Molti consigliano una rete Vpn con servizi a pagamento oppure "casalinga" ma mi sembra un procedimento un pò difficile. Visto che dovrò fare a breve l'acquisto per un router da collegare in cascata, mi sapete dare un consiglio su quale prendere e se magari c'è la possibilità di aumentare la sicurezza della rete?
    Ringrazio tutti anticipatamente

  2. #2
    Super Moderatore
    Registrato
    Jun 2005
    Messaggi
    4,218

    Predefinito

    Qui ci vogliono gli espertZ ma intanto posso dirti:
    1)Configurazione porte , firewall e accessi del router.
    2)Configurazione firewall del pc.
    Bona.
    Fare queste due cose bene gia' e' piuttosto sufficiente per un normale utente.
    Pero' c'e' chi ste cose le fa di mestiere qui aggiro...aspettiamo il loro intervento.

  3. #3
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    37
    Messaggi
    21,725
    configurazione

    Predefinito

    Rispondo così mi resta l'iscrizione al thread, magari ci do un'occhiata stasera.


    "La complessità è necessaria in un mondo sempre più articolato e interconnesso. Per questo nei servizi non bisogna offrire semplicità ma comprensibilità: oggetti, cioè, con molte funzioni ma intellegibili già dopo la prima lettura delle istruzioni."
    Donald A.Norman

  4. #4
    bit
    Registrato
    Mar 2018
    Età
    36
    Messaggi
    29

    Predefinito

    intanto grazie mille per il tuo intervento, in effetti ho il firewall sempre spento per problemi di conflitti con alcuni programmi! aggiungo qualche informazione in piu riguardo la mia configurazione, nella speranza che qualche esperto possa aiutarmi:

    -ho un fastgate, da qui collegato uno switch 8 porte dove a sua volta sono collegati un Macpro e un Nas (qnap)
    la mia intenzione sarebbe oltre che a creare una rete sicura e in futuro riuscire a poterci accedere da remoto, acquistare un router wifi da collegare in cascata dopo il fastgate.
    I miei dubbi sono invece riguardo allo switch, non so se risulterà più necessario visto che ci sarà il nuovo router con a sua volta 3 porte libere. Se vi starete chiedendo perchè ho lo switch è perchè ogni tanto collego una secondo computer fisso.
    Grazie ancora

  5. #5
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    37
    Messaggi
    21,725
    configurazione

    Predefinito

    Originariamente inviato da fabio81
    Ciao ragazzi,

    mi sono appena fatto attivare un Ip pubblico statico con Fastweb in modo da poter accedere dall'esterno tramite wake on line verso il mac di casa(ibernato) e anche verso il Nas. So benissimo che sarà un'impresa molto difficile ma affronterò l'argomento in un futuro thread.
    Potrebbe richiedere un modem un po' più avanzato di quello del provider (non ho il fastgate, solo in linea generale) perchè ci sono delle configurazioni particolari da fare in quanto il WoL è un protocollo per le reti locali, farlo funzionare attraverso internet richiede dei trucchi non sempre alla portata dei router home. Ma ci penseremo più avanti.

    Originariamente inviato da fabio81
    Nel frattempo però mi sono accorto leggendo su internet che avere un Ip pubblico statico può comportare seri problemi riguardo la sicurezza. Molti consigliano una rete Vpn con servizi a pagamento oppure "casalinga" ma mi sembra un procedimento un pò difficile. Visto che dovrò fare a breve l'acquisto per un router da collegare in cascata, mi sapete dare un consiglio su quale prendere e se magari c'è la possibilità di aumentare la sicurezza della rete?
    Ringrazio tutti anticipatamente
    Per andare su internet, a meno di configurazioni particolari come erano le prime reti Fastweb e che (a quanto ne so) non utilizza più nessun operatore nazionale, il router del provider riceve sempre un IP pubblico: Il fatto che il tuo sia statico rende solo più facile "ritrovarti" nel caso un attaccante riuscisse a individuare un servizio mal configurato o un debolezza da poter sfruttare.
    Quindi, il fatto che sia statico, di per se non rende più "vulnerabile" la rete se non ci sono altri problemi.


    Onestamente non ho idea di come accedere da remoto ad un Mac senza strumenti di terze parti come Teamviewer (e con questo tool non c'è bisogno della VPN)... Il NAS ovviamente non dovrà essere esposto in SMB o AFP perchè non sono protocolli adatti ad essere esposti su internet. Dovrei usare l'interfaccia web del NAS o un eventuale servizio FTP per accedere ai tuoi files ma, a meno che non vengano sfruttate vulnerabilità nel servizio esposto dal NAS (che NAS è?), non vedo particolari criticità.


    "La complessità è necessaria in un mondo sempre più articolato e interconnesso. Per questo nei servizi non bisogna offrire semplicità ma comprensibilità: oggetti, cioè, con molte funzioni ma intellegibili già dopo la prima lettura delle istruzioni."
    Donald A.Norman

  6. #6
    Moderatore L'avatar di Matty90
    Registrato
    May 2006
    Località
    Zola Predosa (BO)
    Età
    27
    Messaggi
    5,913
    configurazione

    Predefinito

    Originariamente inviato da frakka
    Potrebbe richiedere un modem un po' più avanzato di quello del provider (non ho il fastgate, solo in linea generale) perchè ci sono delle configurazioni particolari da fare in quanto il WoL è un protocollo per le reti locali, farlo funzionare attraverso internet richiede dei trucchi non sempre alla portata dei router home. Ma ci penseremo più avanti.
    L'ultimo fastgate è abbastanza evoluto da permettere un port forwarding abbastanza furbo, quindi per farlo si dovrebbe poter riuscire. Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.

    A livello di sicurezza, il fastgate ha un suo firewall che è già più che sufficiente per impedire accessi indesiderati.

    Per ciò che riguarda invece l'accesso ai tuoi dispositivi, bisognerebbe capire cosa vorresti ottenere. Ad esempio:
    - vuoi accedere ai file sul nas?
    - vuoi accedere alla consolle web per la gestione del nas?
    - vuoi solo accendere il mac e collegarti in altro modo?
    - vuoi usare il mac da remoto in qualche modo?

    In base a cosa vuoi ottenere ci sono soluzioni più o meno valide...


    WS HOME: i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
    WS LAB: Ryzen 1600x cooled by Corsair H100i V2 - Biostar x370GTN - 16Gb GSkill TridentZ RGB 3200Mhz - Gigabyte 1050Ti - Thermaltake Smart Pro RGB 650W - MP500 NvME 250Gb - WD Blue 1Tb - Win10 Pro x64 - CoolerMaster HAF915R
    My HPE MicroServer -> Configurazione e Setup

  7. #7
    Super Moderatore L'avatar di frakka
    Registrato
    May 2001
    Località
    Casalecchio di Reno (Bo)
    Età
    37
    Messaggi
    21,725
    configurazione

    Predefinito

    Originariamente inviato da Matty90
    Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.
    Ricordo che con un altro utente siamo riusciti a fare una cosa abbastanza intelligente, non mi ricordo i dettagli... Ci dovrei riguardare.
    fabio81 likes this.


    "La complessità è necessaria in un mondo sempre più articolato e interconnesso. Per questo nei servizi non bisogna offrire semplicità ma comprensibilità: oggetti, cioè, con molte funzioni ma intellegibili già dopo la prima lettura delle istruzioni."
    Donald A.Norman

  8. #8
    Moderatore L'avatar di Matty90
    Registrato
    May 2006
    Località
    Zola Predosa (BO)
    Età
    27
    Messaggi
    5,913
    configurazione

    Predefinito

    Beh in realtà basterebbe poi fare un forward ad una porta che non sia la 9 verso l’esterno con una porta di “fantasia” non utilizzata dai servizi conosciuti. Per dire ruoti la 9UDP su una 40009 e già hai evitato di rispondere ad un eventuale scanning.

    Non so però se possa funzionare a dire la realtà perché non so come ragiona il wol...


    WS HOME: i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
    WS LAB: Ryzen 1600x cooled by Corsair H100i V2 - Biostar x370GTN - 16Gb GSkill TridentZ RGB 3200Mhz - Gigabyte 1050Ti - Thermaltake Smart Pro RGB 650W - MP500 NvME 250Gb - WD Blue 1Tb - Win10 Pro x64 - CoolerMaster HAF915R
    My HPE MicroServer -> Configurazione e Setup

  9. #9
    bit
    Registrato
    Mar 2018
    Età
    36
    Messaggi
    29

    Predefinito

    Originariamente inviato da Matty90
    L'ultimo fastgate è abbastanza evoluto da permettere un port forwarding abbastanza furbo, quindi per farlo si dovrebbe poter riuscire. Diciamo che ruotare verso l'esterno la porta 9 UDP non mi sembra una cosa molto furba, ma è anche vero che da sola potrebbe fare ben poco.

    A livello di sicurezza, il fastgate ha un suo firewall che è già più che sufficiente per impedire accessi indesiderati.

    Per ciò che riguarda invece l'accesso ai tuoi dispositivi, bisognerebbe capire cosa vorresti ottenere. Ad esempio:
    - vuoi accedere ai file sul nas?
    - vuoi accedere alla consolle web per la gestione del nas?
    - vuoi solo accendere il mac e collegarti in altro modo?
    - vuoi usare il mac da remoto in qualche modo?

    In base a cosa vuoi ottenere ci sono soluzioni più o meno valide...
    Ciao intanto grazie mille! (non sono riuscito a fare il multiquota sul forum come fate voi perciò ti risponderò tutto assieme

    Per quanto riguarda il Fastgate anche a me sembra abbastanza evoluto con possibilità di settare le porte IP con Mac address. Una cosa che manca però è la lista ARP.
    Per il livello di sicurezza ho visto da poco il firewall del modem come dicevi tu e provvederò subito ad attivarlo.
    Riguardo invece a quello che vorrei fare è poter accendere il MAcpro da remoto (preventivamente ibernato altrimenti sarebbe impossibile) e accendere anche il Nas in un secondo momento anche perchè per poter accedere all'interfaccia web, il Nas (Qnap T251) deve essere acceso da prima.
    Riguardo il WOL del Nas ho visto che si può fare e anche lui dispone di Mac address con relativo IP, bisognerebbe solo riuscire a far arrivare il magic Pachet. In Passato riuscivo a farlo attivare stando però dentro la stessa rete e al momento riesco ad accendere anche il MacPro sempre stando dentro la stessa rete. Il Problema è riuscire a farlo da fuori.
    Vi allego le schermate del Modem e se necessario son disponibile ad acquistare un router secondario da mettere in cascata.
    grazie ancora!








  10. #10
    Moderatore L'avatar di Matty90
    Registrato
    May 2006
    Località
    Zola Predosa (BO)
    Età
    27
    Messaggi
    5,913
    configurazione

    Predefinito

    Originariamente inviato da fabio81
    Ciao intanto grazie mille! (non sono riuscito a fare il multiquota sul forum come fate voi perciò ti risponderò tutto assieme

    Per quanto riguarda il Fastgate anche a me sembra abbastanza evoluto con possibilità di settare le porte IP con Mac address. Una cosa che manca però è la lista ARP.
    Per il livello di sicurezza ho visto da poco il firewall del modem come dicevi tu e provvederò subito ad attivarlo.
    Riguardo invece a quello che vorrei fare è poter accendere il MAcpro da remoto (preventivamente ibernato altrimenti sarebbe impossibile) e accendere anche il Nas in un secondo momento anche perchè per poter accedere all'interfaccia web, il Nas (Qnap T251) deve essere acceso da prima.
    Riguardo il WOL del Nas ho visto che si può fare e anche lui dispone di Mac address con relativo IP, bisognerebbe solo riuscire a far arrivare il magic Pachet. In Passato riuscivo a farlo attivare stando però dentro la stessa rete e al momento riesco ad accendere anche il MacPro sempre stando dentro la stessa rete. Il Problema è riuscire a farlo da fuori.
    Vi allego le schermate del Modem e se necessario son disponibile ad acquistare un router secondario da mettere in cascata.
    grazie ancora!







    Dunque, tutti i dispositivi che possono essere connessi ad internet hanno un loro IP e un loro Mac Address. Se si può dire che il MAC address è univoco e individua uno ed un solo dispositivo, per l’ip la cosa si complica in quanto andrebbe fatta una distinzione tra ip pubblico (quindi quello che viene poi “visto” da internet) e quello privato (quindi interno, che conosci tu e chi gestisce la tua rete).

    Detto questo, quello che serve sapere a te, purtroppo, sono sia il Mac che gli indirizzi sia pubblici che privati dei tuoi dispositivi. L’indirizzo pubblico sarà quello meno problematico essendo solamente uno: l’ip fisso che ti ha fornito fastweb.

    Ora, conosciamo l’ip pubblico, diamo per scontato di sapere anche gli ip privati e i Mac dei nostri dispositivi (in quanto se non li sappiamo a memoria sono facilmente reperibili) e anche la porta a cui risponde il servizio di cui abbiamo bisogno, ovvero la porta 9UDP.

    A questo punto viene il primo problema. Hai un solo ip pubblico, una sola porta a cui risponde un servizio, ma hai due apparati. Sarà quindi necessario mascherare le chiamate dall’esterno verso l’interno in modo da avere due “servizi” che chiamati opportunamente accenderanno uno dei due apparati.

    Faccio un esempio pratico, che forse è più utile a capire il discorso:

    - ip fisso (pubblico) fastweb: 95.18.200.200
    - porta wol: 9UDP
    - ip interno Mac: 192.168.1.5 settato come ip fisso dalla reservation DHCP del fastgate
    - ip interno nas: 192.168.1.6 settato come ip fisso dalla reservation DHCP del fastgate
    - port forwarding del fast gate impostato come “any-any allow” (sbagliatissimo ma è per fare un esempio pratico molto facile)

    In questo caso, chiamando dall’esterno la porta UDP9 del tuo ip fisso, NESSUNO dei due dispositivi verrà acceso in quanto il tuo modem/router (il fastgate) non saprà a quale dei due dispositivi girare la richiesta in quanto in automatico la porta UDP9 verrà esposta verso l’esterno esattamente come tale.

    Cambiando semplicemente il port forwarding impostando due porte esterne differenti e la 9UDP interna su ogni dispositivo avremo una cosa di questo tipo:

    - 192.168.1.5 UDP9 -> port forwarding verso la porta udp 40019 esterna
    - 192.128.1.6 UDP9 -> port forwarding verso la porta udp 40029 esterna

    In questo caso, quando dall’esterno chiamerai l’ip fisso 95.18.200.200 sulla porta 40019 ti risponderà il Mac mentre sulla porta 40029 ti risponderà il NAS.

    (Spiegazione semplificata e approssimativa, la configurazione potrebbe già funzionare ma non è scontato)

    A questo punto bisognerà verificare che non ci siano altri impedimenti ad esempio firewall del Mac piuttosto che servizi di “blocco traffico” sul nas e sperimentare il tutto.


    WS HOME: i7 7700k @ 5.2Ghz cooled by Custom Loop - Asus Maximus IX Apex - Asus Strix 980Ti - 16Gb Gskill TridentZ F4-3866C18 - Antec HCP 1000W Platinum - 3 x WD 500Gb (Dati) - Samsung Evo 840 (SO) - Win10 Pro x64
    WS LAB: Ryzen 1600x cooled by Corsair H100i V2 - Biostar x370GTN - 16Gb GSkill TridentZ RGB 3200Mhz - Gigabyte 1050Ti - Thermaltake Smart Pro RGB 650W - MP500 NvME 250Gb - WD Blue 1Tb - Win10 Pro x64 - CoolerMaster HAF915R
    My HPE MicroServer -> Configurazione e Setup

Pagina 1 di 6 1 2 3 4 5 6 ultimo

Informazioni Thread

Users Browsing this Thread

Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)

Regole d'invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
nexthardware.com - © 2002-2018

Search Engine Optimization by vBSEO 3.6.1