PROBLEMA Home network setup

[giangl3r]

Buongiorno a tutti. È un po di tempo che mi sono avvicinato a questo mondo IT e sto configurando le prime VM, firewall e giocare con le NIC. Vorrei farvi una domanda ad un problema che ancora non mi è chiaro.
Posto che tra modem e router c è un firewall che svolge le sue funzioni mi domando se in soli termini di sicurezza conviene sulla LAN avere piu sottoreti...nello specifico separare per esempio gli hypervisor dai PC oppure i server di storage dal resto della rete etc...tuttavia sara sempre necessaria connessione ad internet per esempio da parte dell hypervisor e cosi via....sapreste consigliarmi un approccio sicuro che mi consentirebbe di raggiungere da un pc tutte le reti ma al contempo avere le cose separate (sempre che migliori la.sicurezza). Sto dicendo ca****e? Ahah grazie a tutti...in caso chiedete per maggiori info...l obiettivo sarebbe avere anche una zona separata in cui fare esperimenti di rete (pen test etc...) senza compromettere il resto

 

[leonardo6e56]

Buongiorno a tutti. È un po di tempo che mi sono avvicinato a questo mondo IT e sto configurando le prime VM, firewall e giocare con le NIC. Vorrei farvi una domanda ad un problema che ancora non mi è chiaro.
Posto che tra modem e router c è un firewall che svolge le sue funzioni mi domando se in soli termini di sicurezza conviene sulla LAN avere piu sottoreti...nello specifico separare per esempio gli hypervisor dai PC oppure i server di storage dal resto della rete etc...tuttavia sara sempre necessaria connessione ad internet per esempio da parte dell hypervisor e cosi via....sapreste consigliarmi un approccio sicuro che mi consentirebbe di raggiungere da un pc tutte le reti ma al contempo avere le cose separate (sempre che migliori la.sicurezza). Sto dicendo ca****e? Ahah grazie a tutti...in caso chiedete per maggiori info...l obiettivo sarebbe avere anche una zona separata in cui fare esperimenti di rete (pen test etc...) senza compromettere il resto

io ho configurato tutto sulla stessa rete, tuttavia utilizzo dei servizi che richiedono autenticazione tramite web (o app) per gestire il NAS e il routerone stesso. Sono applicativi che fanno questo direttamente es. per il nas uso nextcloud (open source) che chiede ovviamente autenticazione per accedere alle cartelle, così se uno esterno scopre il mio ip esterno e la porta, si ferma davanti alla scritta password e utente (non ho messo come password 1234). credo che l'organizzazione in sottoreti debba dipendere da un fatto di organizzazione logica della rete, per una tua preferenza, se vuoi distinguerli, magari assegnare una certa porzione di banda massima a un gruppo lo puoi fare, anche perchè se uno dovesse entrare nella tua rete, vedrebbe comunque tutti gli altri dispositivi nelle altre 2 reti raggiungibili tra di loro, quindi è in grado di entrare anche su quelle.

 

[giangl3r]

io ho configurato tutto sulla stessa rete, tuttavia utilizzo dei servizi che richiedono autenticazione tramite web (o app) per gestire il NAS e il routerone stesso. Sono applicativi che fanno questo direttamente es. per il nas uso nextcloud (open source) che chiede ovviamente autenticazione per accedere alle cartelle, così se uno esterno scopre il mio ip esterno e la porta, si ferma davanti alla scritta password e utente (non ho messo come password 1234). credo che l'organizzazione in sottoreti debba dipendere da un fatto di organizzazione logica della rete, per una tua preferenza, se vuoi distinguerli, magari assegnare una certa porzione di banda massima a un gruppo lo puoi fare, anche perchè se uno dovesse entrare nella tua rete, vedrebbe comunque tutti gli altri dispositivi nelle altre 2 reti raggiungibili tra di loro, quindi è in grado di entrare anche su quelle.

#edit ciao e grazie mille! di fatto è come pensavo: la suddivisione in sottoreti SE comunicanti tra loro non incrementa la sicurezza ma agevola solo il traffico all'interno della rete. Ad ogni modo ti ringrazio anche per l'aspetto delle pwd; in effetti non avevo pensato che comunque verrebbe richiesta l'autenticazione...

invece, da come capisco e considerando che non mi interesserebbe fare una DMZ per un sito web o altro....il fatto di avere 3 NIC su un hypervisor non mi aggiunge nulla in termini di sicurezza, o sbaglio? può avere senso secondo te sfruttare la terza NIC (che ad oggi non è utilizzata) in qualche modo nella mia LAN? (successivamente dedicherò storage su quella NIC..ma ad oggi mi domandavo come sfruttarla per incrementare le protezioni) ...pensavo mettendo ad esempio il mgmt dell' hypervisor su una NIC dedicata (per quanto sarebbero sulla stessa rete....per cui non saprei...)

Visto che siamo in tema di sicurezza pongo anche questo fatto (un pò all'inception): il firewall hardware che riceve gli aggiornamenti lo espone direttamente ad internet? -__-'

Grazie ancora!

 

[leonardo6e56]

#edit ciao e grazie mille! di fatto è come pensavo: la suddivisione in sottoreti SE comunicanti tra loro non incrementa la sicurezza ma agevola solo il traffico all'interno della rete. Ad ogni modo ti ringrazio anche per l'aspetto delle pwd; in effetti non avevo pensato che comunque verrebbe richiesta l'autenticazione...

invece, da come capisco e considerando che non mi interesserebbe fare una DMZ per un sito web o altro....il fatto di avere 3 NIC su un hypervisor non mi aggiunge nulla in termini di sicurezza, o sbaglio? può avere senso secondo te sfruttare la terza NIC (che ad oggi non è utilizzata) in qualche modo nella mia LAN? (successivamente dedicherò storage su quella NIC..ma ad oggi mi domandavo come sfruttarla per incrementare le protezioni) ...pensavo mettendo ad esempio il mgmt dell' hypervisor su una NIC dedicata (per quanto sarebbero sulla stessa rete....per cui non saprei...)

Visto che siamo in tema di sicurezza pongo anche questo fatto (un pò all'inception): il firewall hardware che riceve gli aggiornamenti lo espone direttamente ad internet? -__-'

Grazie ancora!

se i dispositivi sono individuabili tra di loro e raggiungibili da qualsiasi altro dispositivo allora settare diversi indirizzi IP non serve a molto, la NIC di solito viene utilizzata quando vuoi fare del load balancing ad esempio con delle linee in uscita, oppure se vuoi potenziare la velocità di connessione (SFP+ o RJ45). il firewall che fa gli aggiornamenti è eposto in internet, ma effettua una connesione sftp sicura e certificata (SSL) ad un solo indirizzo che è quello dell'azienda che ha prodotto il software e distribuisce nuove release. la connessione è sicura e una volta scaricato l'aggiornamento, credo proprio faccia anche una verifica se l'aggiornamento è corretto quindi non credo proprio possano esserci tentativi di intrusione nella rete dall'esterno. per fare un sito, è una delle eccezioni, li può servire uscire con un indirizzo dedicato, in modo da evitare problemi di wrap delle connessioni con il browser.

 

[r3dl4nce]

In ambito casalingo una suddivisione reti può avere senso come non averlo.
Se vuoi farlo per imparare, può essere una buona cosa. Gestisci più vlan e sottoreti (esempio: rete domotica, rete server / nas / ecc, rete apparati client) e imposti da firewall (si suppone esserci un firewall a gestire il routing) tutte le regole per far funzionare tutto.

È più un motivo didattico che di effettiva utilità, a meno che tu non abbia in casa un homelab o simile

 

[giangl3r]

In ambito casalingo una suddivisione reti può avere senso come non averlo.
Se vuoi farlo per imparare, può essere una buona cosa. Gestisci più vlan e sottoreti (esempio: rete domotica, rete server / nas / ecc, rete apparati client) e imposti da firewall (si suppone esserci un firewall a gestire il routing) tutte le regole per far funzionare tutto.

È più un motivo didattico che di effettiva utilità, a meno che tu non abbia in casa un homelab o simile

Ciao r3dl4nce ho gia avuto il piacere di confrontarmi con te in un altro post e ti ringrazio per la tua attività. Sul mio hypervisor ho voluto comprare una terza NIC in quanto avevo un problema: ho configurato un firewall con WAN sul modem/router e LAN su un virtual switch collegata ad hypervisor su un altra NIC. Lato LAN ho poi fisicamente collegato altra roba. In tale configurazione avevo anche collegato allo switch lato LAN anche un altro routerche avrei voluto gestisse il traffico tra le varie reti (non internet)...ora mi accorgo che nn serve a nulla ed in effetti potrei (volendo e avendone necessita) fare tutto da firewall. Il fatto che non mi è chiaro è xke cosi facendo accedendo alla pagina del router (quello collegato sulla LAN) non mi è possibile vedere l IP dell l'hypervisor... da hypervisor riesco ad accedere al web ma non capisco xke nn lo vedo collegato fisicamente al router... al contrario senza router accedendo alla GUI del firewall allora riesco a vedere anche l hypervisor...sapreste dirmi come è possibile? Ad ogni modo...sono incuriosito sulla questione dell homelab...cosa intendi? ho in.programma di fare uno o due virtual switch per gestire un laboratorio di test e magari come detto in un altro post avere una sorta di DMZ per fare tests. Grazie infinite! Mi auguro sia chiaro