Fastweb / Come rendersi impenetrabili

[kilio]

salve gente, con fastweb, siamo tutti delle belle porticine aperte.
come possiamo fare?
avevo pensato ad un router?
ma quanto costa?
ci sono soluzioni hardware migliori? oppure possiamo ricorrere al software?

[Habanero]

prima di tutto, hai un contratto residenziale o aziendale? e di conseguenza IP privato o pubblico?

Nel primo caso sei una porticina aperta solo per la sottorete locale fastwab ed quindi sei molto più protetto di un utente direttamente esposto su internet.

Nel secondo caso non sei più esposto di chiunque altro.

Cosa devi proteggere? un pc? una rete?

Con un router direi che non ci fai proprio niente in questo caso. Quello che ti serve è un Firewall. Se è un PC singolo (o pochi PC) puoi installare un personal firewall software su ogni macchina.
Esiste una versione di Sygate e di Zone Alarm gratuita per uso privato.

Tutto dipende da cosa devi proteggere. Dammi qualche info in più!

[maiosyet]

Originariamente inviato da kilio
salve gente, con fastweb, siamo tutti delle belle porticine aperte.
come possiamo fare?
avevo pensato ad un router?
ma quanto costa?
ci sono soluzioni hardware migliori? oppure possiamo ricorrere al software?

Porticine aperte?

Se (come il 90 % degli utenti fastweb) hai un normale contratto con ip privato sei molto piu' protetto degli altri utenti che navigano su internet, in quanto un utente esterno alla tua rete privata fastweb non puo' attaccarti. (E come farebbe, visto che al massimo puo' vedere l'ip dello switch condominiale?)

Al massimo potresti subire attacchi di tipo arp poisoning o simili da altri utenti della tua rete interna, ma questa eventualita' non penso sia evitabile, in quanto la sovrascrittura dell'arp cache avviene in maniera (solitamente) trasparente sul sistema operativo.

Tuttalpiu' puoi sperare che gli admin di fastweb, notanto un traffico arp sospetto (nel caso in cui l'attacco venga condotto su TUTTA la rete privata) si insospettiscano e facciano un controllo (in tal caso dovrebbero sgamare subito il lamerotto).

La situazione cambia invece per tutte le macchine connesse tramite il tuo hag di fastweb: funzionando infatti esso come un hub (e non come uno switch) inoltra tutti i pacchetti in broadcast, e quindi un utente connesso al tuo stesso hag puo' facilmente intercettare tutto il traffico che viaggia non crittato dall'hag al tuo pc. Ovviamente se il tuo computer e' l'unico attaccato, questo problema non si pone

In definitiva, e' molto difficile essere attaccato per un utente fastweb, ma lo e' altrettanto proteggersi

Spero di essere stato abbastanza chiaro

[Arks]

quindi maiosyet,se io ho un tizio al piano di sotto che usa fastweb,ed abbiamo lo stesso hag (per forza?),questi puo' ben facilmente intercettare tutto il mio traffico (sia pure non crittato)?
Se e' cosi',malgrado la miglior situazione generale di fastweb rispetto all'adsl, dipende quindi da che tipo di vicini hai.....
Esistono contromosse sicure per evitare questa possibilita'?
Te lo chiedo perche' a volte ho accarezzato l'idea di passare da adsl a fastweb,sebbene io sia in generale contento della mia Alice.
Siccome mi interessa molto,anche da un punto di vista teorico,l'argomento sicurezza.

[Habanero]

No Arks, l'hag è quello che tu hai in casa. Fastweb ti consente di collegare più computer alla rete internet e di creare nel contempo una rete lan casalinga tramite l'hag. Dal lato lan l'hag funziona come un hub con tutti i problemi del caso come la trasmissione broadcast su tutti i rami che permette di sniffare il traffico (solo lato lan e non verso fastweb o altri utenti condominiali!!!).
A filtrare il traffico condominiale c'è un Cisco Catalyst che dovrebbe fare bene il suo dovere!

[billiejoex]

come gia detto, fw è anzi piu sicura rispetto ad altri provider, in quanto risulti invisibile a tutta la rete esterna. degli "inconvenienti" potrebbero essere:

- worms: avendo un range ip più ristretto rispetto a una rete pubblica una macchina infetta è decisamente più dannosa, specialmente se si trova all'interno della tua stessa sottorete (io ho fw e ho notato che una macchina NT appena installata e non patchata si prende quasi all'istante worm sasser o blaster all'interno della rete fw, cosa che accade un po più raramente in una rete pubblica.) ovvio che è un problema solamente iniziale. una volta configurata e aggiornata la macchina il problema non si pone fino alla successiva reinstallazione.

- lamers: fw ha ip fisso. ipotetici lamerelli all'interno della rete fw ti posso trovare sempre dato che hai ip fisso. con un ip dinamico sarebbero costretti a cercarti ogni qualvolta ti riconnetti.

- ip privato: se per quanto riguarda la sicurezza è un grande vantaggio, per il resto porta diversi problemi derivanti appunto dal fatto che non sei raggiungibile dalla rete esterna. qualunque funzione di server al di fuori della rete fw è annientata, quindi niente server web, niente ftp ecc. inconveniente che cmq si può aggirare con ipv6.

- costo: mi dispiace dirlo ma se ora come ora dovessi rifare un contratto fw ci penserei due volte. gran provider ma da quando ho fatto il contratto io i prezzi sono lievitati da far paura. la cosa che fa piu arrabbiare è che la dsl 2Mbit costa uguale alla fibra 10 Mbit, anzi, la dsl 4 Mbit costa persino piu della fibra (per maggiori costi di produzione). se il mio palazzo non fosse raggiunto da fibra penso che molto probabilmente opterei per una dsl di un altro provider, leggermente meno veloce ma sicuramente piu conveniente.

pregi:

- velocità: la fibra 10 Mbit sarebbe da vedere almeno una volta della vita. scaricare a 900 K/sec, in italia, non è una cosa da poco. per gli uffici fw fibra è sicuramente il meglio. anche la dsl è una signora dsl. sia la 2 che la 4 Mbit soddisfano appieno.

- affidabilità: in 3 anni che ho fastweb mi sarà capitato si e no 4-5 volte di avere problemi di connessione, e mai per piu di 5 minuti. in piu in comodo d'uso fw rilascia un hag a cui puoi collegare 3 pc. servizio di assitenza abbastanza buono. mi è capitato di avere problemi di telefonia, qualche volta, e il tecnico è venuto nel giro di qualche giorno.

[Arks]

grazie ad Habanero e billijoex per le esaurienti risposte.

ps. per habanero: ho equivocato l'esposizione di maiosyet perche' non pensavo che lui si riferisse o ad un caso per internet-point o ad una situazione puramente teorica per cui c'e' qualcuno che ti intercetta nella tua stessa LAN.
Rimango in argomento segnalandoti un congegno molto interessante anti-intrusione uscito da poco,che mi sembra efficacissimo:
https://www.prevx.com/homeoffice/hom...medownload.htm




per billiejoex:se hai l'IP fisso,allora all'interno di fw non puoi nemmeno usare un proxy per mascherarti,quindi puoi usare solo difese 'convenzionali'...sei quasi alla merce',e ormai sono molti gli associati al club fw....oppure c'e' un modo,a parer tuo?

[maiosyet]

Originariamente inviato da Arks

ps. per habanero: ho equivocato l'esposizione di maiosyet perche' non pensavo che lui si riferisse o ad un caso per internet-point o ad una situazione puramente teorica per cui c'e' qualcuno che ti intercetta nella tua stessa LAN.


per billiejoex:se hai l'IP fisso,allora all'interno di fw non puoi nemmeno usare un proxy per mascherarti,quindi puoi usare solo difese 'convenzionali'...sei quasi alla merce',e ormai sono molti gli associati al club fw....oppure c'e' un modo,a parer tuo?

Mi sa che non hai ben chiaro come funziona fastweb

Quando cablano il tuo palazzo, mettono un router cisco nella cantina e tutti gli abbonati del palazzo ricevono in casa loro un apparecchio chiamato HAG che e' collegato al router che hai cantina tramite la fibra. A sua volta, il router e' collegato con tutti gli altri router condominiali della tua zona, che vengono coinvogliati all'interno di uno switch generale, che sta alla sede fastweb suppongo, e che fornisce l'ip attraverso il quale TUTTI i computer collegati si affacciano in internet. Ogni pc collegato ha a sua volta un ip interno, assegnato dal demone dhcp, che lo identifica all'interno della MAN di fastweb.

Per i possibili rischi che corri dagli altri utenti fastweb, ti rimando al mio primo post

[Arks]

Benissimo,maiosyet,la situazione ora e' piu' che chiara,ti faccio solo notare che tu avevi scritto nel primo post che:

un utente connesso al tuo stesso hag puo' facilmente intercettare tutto il traffico che viaggia non crittato dall'hag al tuo pc.

per questo avevo erroneamente pensato che tu,dicendo hag, ti riferissi in realta' al router in cantina che smista ai vari abbonati del condominio.
Nel mio,ad esempio,sono venuti per quattro appartamenti (su 16),ma uno solo e' rimasto abbonato,dopo un anno.L'ultima volta che sono venuti i tecnici fw ho parlato un po' con loro,era il periodo in cui la Telecom aveva i noti problemi per il raddoppio di banda e meditavo il cambio, e mi hanno entrambi sconsigliato vivamente dal farlo...incredibile,no? erano sottopagati?! comunque per fortuna da Marzo in poi Alice e' tornata a pieno regime-per lo meno dove sto io-e percio' non ci ho piu' pensato.

[billiejoex]

un utente connesso al tuo stesso hag puo' facilmente intercettare tutto il traffico che viaggia non crittato dall'hag al tuo pc.

per questo avevo erroneamente pensato che tu,dicendo hag, ti riferissi in realta' al router in cantina che smista ai vari abbonati del condominio.

lui intendeva che il traffico può essere intercettato tra i computer (che hai in casa) attaccati al tuo HUB (che hai in casa) non al di fuori. ma questo vale per qualunque LAN hubbed in quanto le connessioni vengono inoltrate a tutti gli host all'interno della LAN, indipendentemente che tu abbia fw o meno. un dispositivo che lavora a un livello piu alto, come puo essere uno switch o un router, evita questo, in quanto invece di mandare broadcast a tutta la LAN per poi stabilire la connessione con l'esatto destinatario, sceglie il percorso diretto da un host a un altro, senza andare a disturbarne altri e quindi evitare un possibile sniffaggio del traffico.