Security

Sicurezza: come configurare il firewall contro gli attacchi

Redazione | 3 Dicembre 2014

Reti Sicurezza

Tutti i moderni modem/router a banda larga integrano un firewall, ovvero un modulo che si occupa di filtrare il traffico […]

Tutti i moderni modem/router a banda larga integrano un firewall, ovvero un modulo che si occupa di filtrare il traffico in transito dall’esterno prevenendo attacchi e accessi non autorizzati alla rete locale. In realtà  i firewall a bordo dei router possono assumere caratteristiche molto differenti in base ai servizi offerti e a quelli per cui il produttore decide di lasciare il controllo all’utente.

Configurare un firewall a basso livello può essere infatti impresa non semplice per i non addetti ai lavori e l’impostazione non corretta di alcuni parametri rischia di compromettere la connettività  a Internet inibendo anche le trasmissioni lecite. Il giusto compromesso tra semplicità  di utilizzo, versatilità  dello strumento e adeguato livello di protezione non è semplice da offrire: di seguito riportiamo alcune funzioni che tipicamente trovano spazio sui router consumer e Soho.

Il firewall di base è abilitato di default su quasi tutti i router. Non disattivatelo se non in casi di estrema necessità .

Il firewall di base è abilitato di default su quasi tutti i router. Non disattivatelo se non in casi di estrema necessità .

Una prima protezione dall’esterno è fornita non dal firewall in sé, quanto dai meccanismi di Nat (Network Address Translation, traduzione degli indirizzi di rete), implementati in tutti i router e, nei modelli Soho in particolare, del tutto trasparenti per l’utente finale.

Per poter accedere a Internet, un qualsiasi dispositivo necessità  di un indirizzo IP pubblico tramite il quale essere rintracciato sulla rete. Il protocollo IP permette di definire un numero limitato di indirizzi univoci e per questo gli Internet Service Provider forniscono ai propri abbonati un numero limitato di indirizzi IP (per gli accessi Soho tipicamente un solo indirizzo). La Nat si occupa di trasformare i pacchetti IP in transito sul router “cambiando” l’indirizzo IP di mittente e destinatario, anche in modalità  uno-a-molti.

Il registro di sistema può essere un valido ausilio per identificare attacchi  o tentativi di accesso non autorizzati.

Il registro di sistema può essere un valido ausilio per identificare attacchi
o tentativi di accesso non autorizzati.

Questo sistema permette ad esempio a tutti i dispositivi della Lan (ciascuno dotato di un IP locale) di condividere l’unico indirizzo IP pubblico messo a disposizione dal provider. In senso contrario questa configurazione funge da protezione implicita, dal momento che un pacchetto proveniente dall’esterno non ha modo, se non sotto indicazione del router stesso, di raggiungere un dispositivo locale specifico, conoscendo appunto solo l’indirizzo IP pubblico.

Oltre al Nat, la maggior parte dei router in commercio è fornita con un firewall di base abilitato di default. Questo consente di bloccare attacchi classici di tipo Dos (Denial Of Service) come i Syn-Flood e i Ping Of Death.

Tutti questi attacchi non puntano a penetrare nella rete locale per carpire informazioni o dati, ma hanno il semplice obiettivo di mandare in crash i sistemi inviando pacchetti IP mal formati o in quantità  eccessiva. Disattivare il firewall del router è operazione altamente sconsigliata.

firewall03

In caso di assoluta necessità  è però possibile definire sulla rete locale una Dmz (DeMilitarized Zone, zona demilitarizzata), ovvero un’area della rete locale che di fatto vive all’esterno del firewall ed è quindi totalmente esposta verso l’esterno. La Dmz è definita sulla base degli indirizzi IP locali dei dispositivi che devono essere esposti e rappresenta un sistema rapido per creare ad esempio dei server pubblici.

Va però utilizzata solo in casi di estrema necessità , badando a fornire gli apparati esposti di opportuni protezioni locali (antivirus, firewall personali).

Per specifiche necessità  di apertura delle comunicazioni dall’esterno esistono comunque strumenti ad hoc come il port forwarding o i server virtuali, che analizzeremo nelle altre pagine.
Simone Zanardi
[box type=”shadow” ]

Speciale sicurezza

➜ Come proteggere il router per una rete sicura

➜ Come configurare il firewall contro gli attacchi

➜ Come gestire le comunicazioni: oltre il firewall

➜ Come controllare gli accessi Internet dalla Lan

➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]

Wireshark

Software

Download del giorno: Wireshark 3.4.1

Alfonso Maruccia | 10 Dicembre 2020

Download del giorno Reti Sicurezza

Nuova release stabile per Wireshark, popolare tool per l’analisi dei pacchetti di rete che corregge diversi bug e aggiorna il supporto per i protocolli di rete.

Wireshark è un software per l’analisi dei pacchetti di rete che ha acquisito una notevole popolarità in diversi scenari di utilizzo, un “packet sniffer” open source in grado di leggere, interpretare e anche decodificare diverse tipologie di comunicazioni telematiche a scopo di studio, manutenzione o hacking.

Grazie all’interfaccia e alle librerie di Wireshark, esperti e utenti comuni possono controllare una qualsiasi connessione di rete wireless o cablata per analizzare i dati scambiati tra client e router/server, raffinando poi l’analisi grazie al complesso sistema di regole e filtri applicabili dal tool.

Wireshark è in grado di effettuare una “deep inspection” di centinaia di protocolli diversi, di catturare il traffico in tempo reale o per l’analisi off-line, di analizzare il traffico VoIP, leggere/scrivere diversi formati di cattura, leggere il traffico da reti Ethernet, Bluetooth, USB, ATM, Wi-Fi e altre, di decifrare i protocolli criptati (IPsec, SSL/TLS, WEP, WPA/WPA2) e molto, molto altro ancora.

L’ultima versione di Wireshark distribuita in queste ore (Wireshark 3.4.1) non aggiunge nuovi protocolli a quelli già supportati in precedenza. In compenso, il programma risulta ora mondato da svariati bug, corregge quattro vulnerabilità di sicurezza classificate nel database CVE, migliora il supporto per i file di cattura in formato pcapng (PCAP Next Generation Dump File Format).

Pagina ufficiale del download di Wireshark 3.4.1 per Windows, Linux, macOS, …

Starlink

Networking

Starlink, la Internet satellitare di SpaceX entra in beta

Alfonso Maruccia | 29 Ottobre 2020

Reti SpaceX Spazio

I primi utenti hanno ricevuto l’invito a partecipare a un “giro di prova” di Starlink, il servizio di connettività satellitare con cui SpaceX intende fare una fortuna.

Il mercato per le connessioni Internet via satellite si fa sempre più affollato, sia sul fronte dei servizi cloud o professionali (Azure Space) che su quello della connettività dedicata espressamente agli utenti finali (Project Kuiper). SpaceX è a quanto pare in vantaggio rispetto alla concorrenza, visto che il suo progetto Starlink è già entrato in fase di beta ristretta negli Stati Uniti e in Canada.

La space company di Elon Musk non è certo priva di ambizioni, ma con Starlink l’obiettivo è se possibile ancora più temerario. SpaceX intende costruire una flotta di circa 12.000 piccoli satelliti posizionati nell’orbita terrestre bassa, offrendo quindi un servizio di Internet “spaziale” in grado di servire gli utenti non coperti dalle reti cablate o wireless di superficie. Un mercato dal valore potenziale di 1.000 miliardi di dollari.

SpaceX

L’ultima tornata di lanci orbitali risale all’inizio del mese, quando SpaceX ha annunciato la messa in orbita di altri 60 satelliti per un totale di 700 satelliti già operativi. In un primo “beta testing” estivo, Starlink ha permesso agli utenti partecipanti di raggiungere velocità massime comprese tra 60 Mbps in downstream e 18 Mbps in upstream con una latenza minima di 31 millisecondi.

Ora SpaceX ha invitato una selezione limitata dei 700.000 utenti che hanno espresso interesse verso il servizio a un nuovo programma di beta, con la promessa di fornire velocità da 50 a 150Mbps a 20-40ms di latenza. La connettività è intermittente, il costo dell’antenna e del router di $500 mentre l’abbonamento mensile richiede l’esborso di altri $100.

La Internet satellitare di Starlink è al momento affetta da temporanei periodi di interruzione del servizio, avverte la corporation, ma a quanto pare non sono previste le solite limitazioni al consumo di dati che da sempre piagano il mercato della connettività USA. SpaceX intende fornire un servizio Internet globale in grado di connettere gli utenti presenti in zone rurali o non serviti dalla connettività tradizionale; se tutto andrà secondo le previsioni, la versione commerciale di Starlink debutterà sul mercato globale entro il 2021.

Qnap QSW-1105-5T

Networking

Qnap QSW-1105-5T, reti a 2,5 Gbps per tutti

Pasquale Bruno | 8 Ottobre 2020

Nas Qnap Reti

Un piccolo switch di rete a 2,5 Gbps, totalmente plug&play, per superare i limiti delle comuni reti gigabit Ethernet.

Qnap è nota soprattutto per le sue soluzioni Nas (Network Attached Storage), in realtà da qualche tempo propone anche componenti per le reti. Tra questi, una nutrita serie di switch di rete con connettività variabile da 1 a 10 gigabit Ethernet. Uno di questi è il Qnap QSW-1105-5T, il primo di classe 2,5 GbE dell’azienda, che rappresenta una soluzione semplice e immediata per i piccoli uffici e l’ambito domestico per andare oltre i limiti delle comuni reti a 1 Gbps.

Qnap QSW-1105-5T

Si tratta di uno switch con cinque porte 2,5GbE/NBASE-T RJ45 particolarmente compatto, compatibile anche con le velocità di trasferimento di 1 Gbps e 100 Mbps. La compatibilità avviene tramite auto sensing e l’utente non deve preoccuparsi di nulla; sarà lo switch a negoziare la velocità adatta a seconda di quel che viene collegato.

Un aspetto importante è che le reti a 2,5 Gbps possono utilizzare i comuni cavi Cat.5e oppure Cat.6 presenti nelle consuete infrastrutture di rete gigabit Ethernet. Dunque per sfruttare la velocità di 2,5 gigabit al secondo non è necessario cambiare i cavi, un vantaggio enorme a tutti i livelli. Basta aggiungere il QSW-1105-5T, collegare i client e si è pronti all’uso. Essendo uno switch di tipo unmanaged, non c’è da configurare nulla.

Qnap QSW-1105-5T

Il Qnap QSW-1105-5T è in grado di rilevare un loop di rete (una sorta di “corto circuito” tra due porte Lan) e bloccare automaticamente le porte interessate, permettendo alle altre porte di continuare a operare normalmente. È anche uno switch silenzioso, dato che non ha ventole interne.

Per sfruttare la maggiore velocità, ovviamente anche i client devono avere interfacce di rete compatibili 2,5 GbE. Qnap ne propone alcune con interfaccia Pci Express adatte sia a PC desktop sia a Nas dotati di bus di espansione; per i notebook c’è un adattatore per porta Usb 3.2 Gen 1.

Aggiungi alla collezione

No Collections

Here you'll find all collections you've created before.