Security

Come proteggere il router per una rete sicura

Redazione | 3 Dicembre 2014

Reti Sicurezza

Prima ancora di capire come un router ben configurato possa proteggere la rete locale di casa o del piccolo ufficio, […]

Prima ancora di capire come un router ben configurato possa proteggere la rete locale di casa o del piccolo ufficio, è importante accertare che il router stesso non sia fonte di vulnerabilità . Essendo infatti questo dispositivo il centro della rete, un problema di sicurezza si ripercuoterebbe automaticamente su tutti i dispositivi collegati sulla Lan.

Tra le pratiche da mettere in campo immediatamente vi è la più banale, ma spesso sottovalutata: cambiare le credenziali di accesso all’interfaccia di amministrazione del router. Molti utenti si concentrano su aspetti di sicurezza avanzati per poi lasciare invariati nome utente e password impostati di default dal produttore. Questa scelta lascia ai potenziali malintenzionati una facile strada di accesso al router dal momento che spesso i parametri in questione sono facilissimi da indovinare (admin/admin, admin/password e simili) o possono facilmente essere ricavati scaricando i manuali d’uso dell’apparato.

Anche nel caso in cui il produttore imposti nome utente e password con valori pseudo-casuali al momento della configurazione di fabbrica, è sempre opportuno procedere alla modifica personalizzata, nel caso in cui l’hacker scopra l’algoritmo di generazione delle password.

Cambiare la password di amministrazione di default è un passaggio banale ma spesso dimenticato.

Cambiare la password di amministrazione di default è un passaggio banale ma spesso dimenticato.

Le regole per la creazione di una password sicura esulano dagli scopi di questo articolo, ma non è mai troppo banale ricordare come i nomi propri o dei propri cari, le date di nascita o le password troppo corte siano tra le scelte meno opportune.

L’amministrazione da remoto è una funzione che molti router mettono a disposizione degli utenti per consentire l’accesso al dispositivo attraverso Internet quando non ci si trova sul posto. Può essere molto utile in ambito aziendale per fornire assistenza a distanza, ma costituisce una potenziale porta aperta verso gli attacchi di malintenzionati e va per questo configurata con attenzione.

Una buona norma è ad esempio quella di cambiare la porta di accesso al pannello di controllo: indicando una porta differente rispetto alle classiche 80 o 8080 si fornisce un minimo di mascheratura per l’accesso da remoto. Per contattare il router su una porta differente (ad esempio 1234) sarà  sufficiente indicare nel browser l’indirizzo IP pubblico seguito dai due punti e dalla porta scelta (ad esempio https://80.76.128.36:1234). Per cifrare le comunicazioni durante il controllo remoto è bene abilitare, se disponibile, l’accesso tramite protocollo sicuro Https.

Se il router non lo fa automaticamente, controllate gli aggiornamenti del firmware.

Il controllo da remoto è uno strumento utile, ma va configurato con attenzione.

Alcuni router permettono poi di indicare uno o più indirizzi IP remoti ai quali concedere l’accesso a distanza; le richieste provenienti da indirizzi differenti sono bloccate.

L’aggiornamento del firmware è un aspetto a cui prestare particolare attenzione: come un normale computer, anche il router è dotato di un proprio “sistema operativo”, spesso basato su core Linux. I produttori rilasciano costanti aggiornamenti per i modelli sul mercato, sia per aggiungere nuove funzioni sia, e soprattutto in questo contesto, per riparare eventuali falle che possono mettere a rischio la stabilità  e la sicurezza del sistema.

Se il router non lo fa automaticamente, controllate gli aggiornamenti del firmware.

Se il router non lo fa automaticamente, controllate gli aggiornamenti del firmware.

I router più avanzati dispongono di un meccanismo di controllo automatico degli aggiornamenti: a intervalli periodici interrogano i server della casa madre e verificano la disponibilità  di update, avvisando poi l’utente che può quindi scaricare la nuova versione e installarla.

Se il vostro router non dispone di questa funzione è invece importante controllare personalmente sul sito di supporto del produttore eventuali rilasci. Un check mensile può essere sufficiente.
Simone Zanardi
[box type=”shadow” ]

Speciale sicurezza

➜ Come proteggere il router per una rete sicura

➜ Come configurare il firewall contro gli attacchi

➜ Come gestire le comunicazioni: oltre il firewall

➜ Come controllare gli accessi Internet dalla Lan

➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]

Wireshark

Software

Download del giorno: Wireshark 3.4.1

Alfonso Maruccia | 10 Dicembre 2020

Download del giorno Reti Sicurezza

Nuova release stabile per Wireshark, popolare tool per l’analisi dei pacchetti di rete che corregge diversi bug e aggiorna il supporto per i protocolli di rete.

Wireshark è un software per l’analisi dei pacchetti di rete che ha acquisito una notevole popolarità in diversi scenari di utilizzo, un “packet sniffer” open source in grado di leggere, interpretare e anche decodificare diverse tipologie di comunicazioni telematiche a scopo di studio, manutenzione o hacking.

Grazie all’interfaccia e alle librerie di Wireshark, esperti e utenti comuni possono controllare una qualsiasi connessione di rete wireless o cablata per analizzare i dati scambiati tra client e router/server, raffinando poi l’analisi grazie al complesso sistema di regole e filtri applicabili dal tool.

Wireshark è in grado di effettuare una “deep inspection” di centinaia di protocolli diversi, di catturare il traffico in tempo reale o per l’analisi off-line, di analizzare il traffico VoIP, leggere/scrivere diversi formati di cattura, leggere il traffico da reti Ethernet, Bluetooth, USB, ATM, Wi-Fi e altre, di decifrare i protocolli criptati (IPsec, SSL/TLS, WEP, WPA/WPA2) e molto, molto altro ancora.

L’ultima versione di Wireshark distribuita in queste ore (Wireshark 3.4.1) non aggiunge nuovi protocolli a quelli già supportati in precedenza. In compenso, il programma risulta ora mondato da svariati bug, corregge quattro vulnerabilità di sicurezza classificate nel database CVE, migliora il supporto per i file di cattura in formato pcapng (PCAP Next Generation Dump File Format).

Pagina ufficiale del download di Wireshark 3.4.1 per Windows, Linux, macOS, …

Starlink

Networking

Starlink, la Internet satellitare di SpaceX entra in beta

Alfonso Maruccia | 29 Ottobre 2020

Reti SpaceX Spazio

I primi utenti hanno ricevuto l’invito a partecipare a un “giro di prova” di Starlink, il servizio di connettività satellitare con cui SpaceX intende fare una fortuna.

Il mercato per le connessioni Internet via satellite si fa sempre più affollato, sia sul fronte dei servizi cloud o professionali (Azure Space) che su quello della connettività dedicata espressamente agli utenti finali (Project Kuiper). SpaceX è a quanto pare in vantaggio rispetto alla concorrenza, visto che il suo progetto Starlink è già entrato in fase di beta ristretta negli Stati Uniti e in Canada.

La space company di Elon Musk non è certo priva di ambizioni, ma con Starlink l’obiettivo è se possibile ancora più temerario. SpaceX intende costruire una flotta di circa 12.000 piccoli satelliti posizionati nell’orbita terrestre bassa, offrendo quindi un servizio di Internet “spaziale” in grado di servire gli utenti non coperti dalle reti cablate o wireless di superficie. Un mercato dal valore potenziale di 1.000 miliardi di dollari.

SpaceX

L’ultima tornata di lanci orbitali risale all’inizio del mese, quando SpaceX ha annunciato la messa in orbita di altri 60 satelliti per un totale di 700 satelliti già operativi. In un primo “beta testing” estivo, Starlink ha permesso agli utenti partecipanti di raggiungere velocità massime comprese tra 60 Mbps in downstream e 18 Mbps in upstream con una latenza minima di 31 millisecondi.

Ora SpaceX ha invitato una selezione limitata dei 700.000 utenti che hanno espresso interesse verso il servizio a un nuovo programma di beta, con la promessa di fornire velocità da 50 a 150Mbps a 20-40ms di latenza. La connettività è intermittente, il costo dell’antenna e del router di $500 mentre l’abbonamento mensile richiede l’esborso di altri $100.

La Internet satellitare di Starlink è al momento affetta da temporanei periodi di interruzione del servizio, avverte la corporation, ma a quanto pare non sono previste le solite limitazioni al consumo di dati che da sempre piagano il mercato della connettività USA. SpaceX intende fornire un servizio Internet globale in grado di connettere gli utenti presenti in zone rurali o non serviti dalla connettività tradizionale; se tutto andrà secondo le previsioni, la versione commerciale di Starlink debutterà sul mercato globale entro il 2021.

Qnap QSW-1105-5T

Networking

Qnap QSW-1105-5T, reti a 2,5 Gbps per tutti

Pasquale Bruno | 8 Ottobre 2020

Nas Qnap Reti

Un piccolo switch di rete a 2,5 Gbps, totalmente plug&play, per superare i limiti delle comuni reti gigabit Ethernet.

Qnap è nota soprattutto per le sue soluzioni Nas (Network Attached Storage), in realtà da qualche tempo propone anche componenti per le reti. Tra questi, una nutrita serie di switch di rete con connettività variabile da 1 a 10 gigabit Ethernet. Uno di questi è il Qnap QSW-1105-5T, il primo di classe 2,5 GbE dell’azienda, che rappresenta una soluzione semplice e immediata per i piccoli uffici e l’ambito domestico per andare oltre i limiti delle comuni reti a 1 Gbps.

Qnap QSW-1105-5T

Si tratta di uno switch con cinque porte 2,5GbE/NBASE-T RJ45 particolarmente compatto, compatibile anche con le velocità di trasferimento di 1 Gbps e 100 Mbps. La compatibilità avviene tramite auto sensing e l’utente non deve preoccuparsi di nulla; sarà lo switch a negoziare la velocità adatta a seconda di quel che viene collegato.

Un aspetto importante è che le reti a 2,5 Gbps possono utilizzare i comuni cavi Cat.5e oppure Cat.6 presenti nelle consuete infrastrutture di rete gigabit Ethernet. Dunque per sfruttare la velocità di 2,5 gigabit al secondo non è necessario cambiare i cavi, un vantaggio enorme a tutti i livelli. Basta aggiungere il QSW-1105-5T, collegare i client e si è pronti all’uso. Essendo uno switch di tipo unmanaged, non c’è da configurare nulla.

Qnap QSW-1105-5T

Il Qnap QSW-1105-5T è in grado di rilevare un loop di rete (una sorta di “corto circuito” tra due porte Lan) e bloccare automaticamente le porte interessate, permettendo alle altre porte di continuare a operare normalmente. È anche uno switch silenzioso, dato che non ha ventole interne.

Per sfruttare la maggiore velocità, ovviamente anche i client devono avere interfacce di rete compatibili 2,5 GbE. Qnap ne propone alcune con interfaccia Pci Express adatte sia a PC desktop sia a Nas dotati di bus di espansione; per i notebook c’è un adattatore per porta Usb 3.2 Gen 1.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.