commento a "FastWeb tra NAT e sicurezza"

[tognazzi]

ciao a tutti.

ho letto l'articolo:
http://www.oneitsecurity.it/02/08/20...t-e-sicurezza/

l'argomento è quello della rete fastweb basata sul NAT e le sue conseguenze per la sicurezza, affrontato anche qui:
http://forum.html.it/forum/showthrea...ht=fastweb+nat

avrei alcuni dubbi. in particolare:

Il fatto che gli attacchi provengano solamente da utenze FastWeb non rappresenta un baluardo troppo sicuro di protezione.

A) che cosa significa: "gli attacchi provengono solo da utenze fastweb"?

se ad esempio sul mio pc c'è un trojan downloader che cerca di collegarsi ad un server remoto cambia qualcosa avere fastweb o è lo stesso?

qual è il tipo di minaccia su cui fastweb offre i maggiori vantaggi di sicurezza?

B) la ragione per cui fastweb ha scelto l'archittetura NAT (unico tra i provider italiani che io sappia) è la maggiore protezione che questa garantisce ai clienti o ci sono altre ragioni tecniche completamente diverse?

thx

[ste_95]

bah... non credo che un downloader faccia distinzioni... .o si?

[tognazzi]

Originariamente inviato da ste_95
bah... non credo che un downloader faccia distinzioni... .o si?

il senso della mia domanda è proprio quello. un trojan, che è un classico esempio del tipo di minaccia che si vede "sul pc di casa", richiede cmq il firewall e l'antivirus da quello che ho capito.

il vantaggio allora qual è? minacce che prendono di mira un particolare indirizzo ip (cosa che su fastweb non si può fare a causa dell'architettura NAT)? ma quali esattamente?

[Habanero]

Un utente Fastweb, in breve FW, puo' essere paragonato ad un utente di una LAN dietro ad un router. Tutti gli utenti FW sono nella LAN (che in realtà è una MAN). I router di Fastweb che mettono in contatto la MAN con internet hanno le porte chiuse. Questo significa che utenti Internet non possono contattare direttamente un utente fastweb (spesso si dice che l'utente Fastweb non possiede ip pubblico). Questo garantisce che siano molto difficili attacchi di rete da internet. Non posso fare un ping verso un utente FW perchè non saprei su quale IP contattarlo... l'ip col quale viene visto su internet è l'ip del router. Idem se cercassi di connettermi a determinate porte. In sostanza un server che girasse sul pc di un utente della MAN non sarebbe in alcun modo contattabile dalla rete internet. Ovviamente nel verso opposto tutto è possibile se uno si becca un downloader questo potrà scaricarsi dalla rete quello che vuole. Per quanto riguarda le minacce specifiche... solo pochi anni fa worm come Sasser e MSBlaster mandavano nel caos milioni di utenti perchè riuscivano via rete a sfruttare vulnerabilità devastanti in alcuni servizi di rete MS. Bastava essere connessi direttamente a internet per infettarsi, non era necessario alcun intervento da parte dell'utente. Gli utenti dietro NAT non se ne sono nemmeno resi conto. Questo è solo un esempio. La categoria comunque è questa... tentativo di accesso ad un server del sistema.. cioè di un programma in ascolto su una porta.

Capiamoci bene, FW non usa il NAT per mettere al sicuro i propri utenti... usa il NAT per risparmiare sugli IP pubblici. Tanto più che all'interno della sottorete fastweb, se non opportunamente protetti, si corrono quasi maggiori rischi.

[ste_95]

che cos'è una MAN??

[tognazzi]

innanzitutto grazie per le risposte.

sulle man:

http://webcen.dsi.unimi.it/wcinfo/pa...fastweb.pdf.gz

sugli attacchi di rete:
http://security.dico.unimi.it/sicure...lide_18-12.pdf

cmq se ho capito bene le minacce inbound sono quelle su cui FW offre maggiore protezione. ma per questo è sufficiente un buon firewall, persino il firewall integrato in windows xp dà buoni risultati.

[ste_95]

grazie...

comuqneu sono d'accordo... diciamo che è anche un modo per farsi pubblicità e cercare di differenziarsi dagli Provider... e truffare quelli alle prime armi...

[tognazzi]

Originariamente inviato da ste_95
grazie...
comuqneu sono d'accordo... diciamo che è anche un modo per farsi pubblicità e cercare di differenziarsi dagli Provider... e truffare quelli alle prime armi...

noi preferiamo chiamarla "cost reduction"...

cmq il giudizio conclusivo di habanero è molto esplicito:

Tanto più che all'interno della sottorete fastweb, se non opportunamente protetti, si corrono quasi maggiori rischi.

FW non sostituisce antiviruz e firewall, né dà vantaggi rispetto agli altri provider dal punto di vista della sicurezza. ovviamente possono esserci altre ragioni per preferirla rispetto ai concorrenti ma qui non sono rilevanti.

[ste_95]

FW non sostituisce antiviruz e firewall, né dà vantaggi rispetto agli altri provider dal punto di vista della sicurezza. ovviamente possono esserci altre ragioni per preferirla rispetto ai concorrenti ma qui non sono rilevanti.

bè ovviamente... FW è molto "famoso" per le sue velocità e (purtroppo) anche per i prezzi...

ps.: tra l'altro ieri hanno chiamato quelli della fastweb... se lo sapevo mi informavo...

[billiejoex]

cmq se ho capito bene le minacce inbound sono quelle su cui FW offre maggiore protezione. ma per questo è sufficiente un buon firewall, persino il firewall integrato in windows xp dà buoni risultati.

Fastweb di per se non offre nulla, in quel senso, salvo un'architettura di rete "privata" basata su NAT. Un utente non fastweb può godere degli stessi "vantaggi" ponendo semplicemente una macchina (un NAT, appunto) davanti a quella che usa di solito.
"Vantaggi" tra virgolette, dato che, sebbene gli attacchi possano provenire soltanto da WAN, sono cmq molto frequenti in ogni caso, persino maggiori rispetto a quelli che possono provenire da internet (sono stato utente fastweb per quasi 4 anni e il traffico inbound 'malevolo' era a dir poco esagerato).
La struttura adottata da fastweb non è cmq pensata per privilegiare la sicurezza dell'utenza quanto più per risparmiare IP e per evitare che i contratti 'per privati' vengano usati per erogare servizi di hosting, cosa che con una fibra da 20 Mb in down/upstream si può fare tranquillamente.
Un'utenza fastweb che richiede IP publico, infatti, lo fa tipicamente per quello, e a cifre tutt'altro che contenute (se non ricordo male, all'epoca l'IP pubblico si pagava qualcosa come una decina di euro al giorno, escluso il costo della bolletta base).