| Autore |
 Discussione  |
|
|
rava34
Advanced Member
Città: Padova
324 Messaggi |
 Inserito il - 16/12/2006 : 01:19:14
|
Ciao a tutti, ho acquistato un firewall hardware per la rete.
io l'ho configurato un po alla bene meglio, non è che qualcuno di voi sarebbe così gentile da potermi suggerire la miglior configurazione???
se mi date la disponibilità, vi mando le screenshot fatte con stamprsist.
fatemi sapere, spero in una vostra gentilezza di collaborazione
ciao
rava34
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 16/12/2006 : 02:35:13
|
Non esiste la politica di sicurezza perfetta. Esistono politiche di sicurezza sostenibili e meno sostenibili, altre del tutto inadeguate. In fondo, rendere un host o un'intera rete sicura non è poi così complesso, basta chiudere tutto, ma di fatto poi l'host (o la rete) sarebbe inutilizzabile, viceversa, aprendo tutto hai una rete utilizzabile ma in piena insicurezza. In parole povere, poilitiche di sicurezza tendenti ad un aumento delle restrizioni portano ad una diminuizione della praticità, o meglio dire, della fruibilità dei servizi. Immagina di avere un posto di controllo di polizia ad ogni angolo di strada, si avrebbe un aumento esponenziale della sicurezza generale, ma si avrebbe anche, come conseguenza, una maggiore difficoltà nella libertà di spostamento, e quindi una minor fruibilità degli spazi che la città offre (o potrebbe offrire). La tua richiesta, così come è posta, è troppo generica. Innanzitutto, il firewall è a monte di una rete? Di quati host? Che applicazioni devono girare su questi host? E su tutti gli host gli stessi tipi di applicazione? Che genere di servizi si vuole ottenere? E ogni host deve poter ottenere gli stessi servizi?
Ti faccio un esempio, magari banale, ma tanto per farti un'idea. Firewall situato fra Internet e una rete interna costituita da due host (A e B), questi non devono ospitare un sito web ma devono avere la possibilità di connettersi a Internet per la navigazione web, allo stesso tempo solo uno dei due PC (A) deve avere la possibilità di scaricare la posta. Bene, il firewall lo si potrebbe configurare in modo tale che non accetti connessioni in entrata dirette alla porta TCP 80 (tipicamente destinata a ospitare server web) ma potrebbe autorizzare connesioni in uscita dirette alla porta TCP 80 (in modo tale da permettere ai due pc di navigare in Internet), allo stesso tempo si autorizza solo l'host A a stabilire connessioni esterne alla porta TCP 110 (così colo il primo pc può scaricare la posta). Questo è solo un piccolo esempio, in realtà potresti anche stabilire nello specifico a quale indirizzo IP specifico si è autorizzati a scaricare la posta (quindi non solo la porta), si possono filtrare solo pacchetti caratterizzati da un certo flag (si possono scartare quelli che richiedono l'apertura di una connessione ma si possono accettare quelli relativi a connessioni esistenti). Valuta bene che tipo si servizi vuoi ottenere (ed eventualmente i servizi che vuoi offrire) e dopo di che si pianifica passo passo la progettazione delle misure di sicurezza, nello specifico bisogna anche vedere le caratteristiche del firewall che hai acquistato, su che tipo di impostazioni è possibile intervenire.
Comunque, posta le caratteristiche della tua rete, la marca e il modello di firewall acquistato, e cosa vuoi o non vuoi sia possibile fare dai vari PC (o dal PC se si tratta di un solo host da proteggere). |
 |
|
|
rava34
Advanced Member
Città: Padova
324 Messaggi |
Inserito il - 16/12/2006 : 14:48:52
|
ciao, ti ringrazio innanzitutto per avermi risposto!
devo dire che sei veramente preparato!
allora, io ho una rete composta da 1 pc desktop su rete cablata RJ45 + 2 notebook in wireless.
il router/firewall è linksys WAG200G.
le mie necessità sono:
tutti e 3 i computer devono poter comunicare tra loro. sia tramite risorse di rete e condividere file, sia tramite VNC (controllo remoto. ma lo uso solo dentro alla rete, non dall'esterno), tutti scaricano posta con outlook o simili, tutti navigano in internet e i 2 notebook, devono poter scaricare da eMule/aMule.
c'è inoltre una stampante di rete, 192.168.1.200 che è utilizzata da tutti.
la rete wireless, ha già una Key di protezione!
a questo link puoi trovare tutte le screenshot del mio firewall. htt*://mio.discoremoto.alice.it/andrearavenni
fammi sapere. grazie ancora.
ciao
rava34
p.s: se magari per darmi le impostazioni mi metti un pallino rosso su cosa devo supuntare etc...
allora il pc fisso ha l'ip 129.168.1.110
notebook 1 192.168.1.120
notebook 2 192.168.1.130
cavo cablato libero.... 192.168.1.140
stampante 192.168.1.200 |
|
|
|
rava34
Advanced Member
Città: Padova
324 Messaggi |
Inserito il - 21/12/2006 : 10:39:28
|
| ...nessuno che mi possa aiutare??? |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 21/12/2006 : 12:05:03
|
Scusami, mi ero dimenticato di questa discussione. Comunque, fra un po' devo andare a lavoro, abbi pazienza fio a stasera e ti rispondo.
Ciao. |
|
|
|
pedrus
Moderatore
Città: Taranto - Pavia
952 Messaggi |
Inserito il - 23/12/2006 : 23:11:42
|
Allora, eccomi qua, scusami per l'attesa. Comunque, premetto che non conosco nello specifico questo firewall, quindi, i passaggi materialmente da seguire non li conosco, posso darti comunque dei consigli di carattere teorico.
Innanzitutto, presumo che, essendo il firewall posizionato fra Internet e la rete locale, i pc che fanno parte di quest'ultima siano visibili fra di loro senza intervenire sulla configurazione del firewall stesso, o stesso discorso vale per la stampante, per cui per quanto riguarda il lato interno della rete, la visibilità e interoperabilità dei pc fra di loro dovrai intervenire solo via software.
Veniamo ora al resto, spero di non dire stupidaggini. Nei settaggi tieni sempre presente che qualunque programma tu voglia utilizzare che comporti una connessione con l'esterno, sfrutta una (o più) determinata porta, spesso le porte di origine o le porte di destinazione sono sempre fisse, di conseguenza dovrai aprirle sul firewall. Ora mi spiego meglio e veniamo al tuo caso specifico. Tutti e tre i pc devono accedere a Internet, quindi parliamo della comune navigazione, i siti web sono raggiungibili nella quasi totalità dei casi sulla porta TCP 80, quindi sul firewall dovrai autorizzare tutte le connessioni provenienti da qualunque PC della rete dirette a qualunque indirizzo la cui porta di destinazione sia la TCP 80, lo stesso discorso vale per la posta, per scaricarla ci si collega ai server di posta alla porta 110 (nel caso POP3) e per inviarla ci si collega sulla porta 25, di conseguenza dovrei abilitare tutte le connessioni provenienti dai PC della rete e diretti ad indirizzi la cui porta è una di quelle due. Fino ad ora abbiamo abbiamo abilitato la navigazione web e l'invio e lo scarico della posta. Per emule/amule il discorso è un po' diverso, non potrai contemporaneamente abilitarlo su due PC, nei programmi di P2P potrai abilitarne solo uno, quindi aprirai le porte 4662 TCP e 4672 UDP (le porte standardi di amule/emule, a meno che non ne abbia impostate di differenti) però bilitando il forwarding (lo screenshot porte1.jpg) verso uno solo dei PC. Poi, in futuro, per ogni programma che vorrai utilizzare controlla le porte che usano e abilitale, ad esempio, solitamente i server di chat IRC accettano connessioni sulla porta 6667, quindi, dovrai abilitare le connessioni aventi porta di destinazione la 6667, e così via per ogni programma che vorrai utilizzare.
Poi, hai detto che la rete wireless ha già una key di protezione, dagli screenshot ho visto che sono chiavi WEP, non sono sicuro, ma da quello che mi risulta le chiavi WEP non sono poi così difficilmente violabili, quindi se le interfacce wireless sul pc le supportano, sfrutta qualche altro tipo di autenticazione, inoltre, ulteriore consiglio, dallo screenshot wireless3.jpg ho visto che è possibile impostare una lista di indirizzi MAC autorizzati. In pratica, puoi decidere quali sono i singoli computer autorizzati a collegarsi con il router/firewall, a prescindere dall'esistenza o meno di una chiave. Usare l'indirizzo MAC è sicuramente meglio, l'indirizzo MAC, diversamente dal numero IP, è univoco per ogni interfaccia di rete ed è impresso nell'elettronica dell'interfaccia stessa dal produttore, l'indirizzo MAC non cambia mai nel tempo e non ne esistono due uguali. Probabilmente, accedendo alle informazioni di sistema potrai ricavare gli indirizzi MAC dei PC e così impostarli nella lista di quelli autorizzati. Un eventuale aggressore (o meglio, ladro di connessione) quindi, non solo dovrà fare il lavoro di scovare la chiave, ma dovrà anche riuscire a spacciarsi per uno dei tuoi PC mascherando il proprio indirizzo MAC reale, quindi il lavoro si complicherebbe parecchio. |
|
|
| |
Discussione |
|
|
|
Configurazione Firewall Hardware
Forum Bloccato
