DOMANDA Incremento sicurezza LAN

[giangl3r]

Buongiorno a tutti avrei il piacere di intavolare una discussione sui benefici (o eventuali contro in soli termini di SICUREZZA) che una configurazione a doppio NAT puó apportare in una rete locale. Prescindendo cioe da quelli che sono gli applicativi utilizzati (firewall, server proxy) volevo avere chiarezza sui benefici che si ottengono utilizzando configurazioni a due schede di rete sui punti di comunicazione tra rete locale e internet.

Spero di essere stato chiaro; provo anche a formularla cosi: ha senso "giocare" 4 schede di rete di modo che vi siano due traslazioni in serie prima di raggiungere la rete? Cio cosa comporta? In prima battuta mi riferisco al solo livello fisico per poi estendere il concetto ovviamente al livello di due reti distinte. Credo dunque sara oneroso coinvolgere i concetti di firewall e proxy.

Grazie a chi vuole dare il suo contributo

 

[r3dl4nce]

Il doppio NAT non ha alcun beneficio in termini di sicurezza. Un buon firewall che gestisca connessione è si prenda IP pubblico è il modo per avere una sicurezza a livello di rete, associato a antivirus, scansione vulnerabilità, ecc

 

[giangl3r]

Ok. Quando parli di antivirus, IDS o IPS ti riferisci a funzioni integrate sul firewall? Inoltre non mi è chiaro perche è conveniente passate l' IP pubblico ad una interfaccia del firewall domestico (WAN) e non lasciare che la WAN del firewall punti ad un IP privato (su altra rete) fornito dal (modem) router in dotazione dal provider . Intendevi forse una configurazione del genere? Dico questo perche ho visto configurazioni in cui affacciano direttamente il firewall su internet.

 

[cdtux]

In un contesto HOME, anche il classico router con il firewall integrato del provider è più che sufficiente per avere un buon livello di sicurezza dato che hai comunque un'attack surface limitata. Già se si comincia ad esporre servizi all'esterno della lan il discorso cambia un pochino, ma in ogni caso esula dal livello di rete.
IDS/IPS (uno dei più famosi è snort) e firewall sono due cose differenti che servono a cose differenti.
In ogni caso, nel contesto HOME, un IDS/IPS è più inutile che dannoso. L'unico motivo valido per inserirlo nel mix è per puro scopo didattico IMHO

 

[r3dl4nce]

Ok. Quando parli di antivirus, IDS o IPS ti riferisci a funzioni integrate sul firewall? Inoltre non mi è chiaro perche è conveniente passate l' IP pubblico ad una interfaccia del firewall domestico (WAN) e non lasciare che la WAN del firewall punti ad un IP privato (su altra rete) fornito dal (modem) router in dotazione dal provider . Intendevi forse una configurazione del genere? Dico questo perche ho visto configurazioni in cui affacciano direttamente il firewall su internet.

Firewall avanzati possono fornire funzionalità di packet inspection (per codici dannosi, ricerca comportamenti dannosi, ecc), IDS, IPS ecc. Chiaramente mi riferisco a un contesto business, generalmente in ambito consumer sono funzionalità che non servono, possono essere implementati se si vuole e/o si ha esperienza, ecc.
Relativamente al secondo quesito i firewall generalmente fanno proprio il lavoro di gestire l'interfaccia verso internet (che sia in nat da un router o in bridge o ppoe ecc con ip pubblico diretto) e tramite apposite regole e funzioni gestiscono il flusso dati in ingresso tra le reti internet (lan, dmz, ecc) e l'accesso a internet

 

[giangl3r]

Firewall avanzati possono fornire funzionalità di packet inspection (per codici dannosi, ricerca comportamenti dannosi, ecc), IDS, IPS ecc. Chiaramente mi riferisco a un contesto business, generalmente in ambito consumer sono funzionalità che non servono, possono essere implementati se si vuole e/o si ha esperienza, ecc.
Relativamente al secondo quesito i firewall generalmente fanno proprio il lavoro di gestire l'interfaccia verso internet (che sia in nat da un router o in bridge o ppoe ecc con ip pubblico diretto) e tramite apposite regole e funzioni gestiscono il flusso dati in ingresso tra le reti internet (lan, dmz, ecc) e l'accesso a internet

Certo questo mi era chiaro. Mi chiedevo se in una configurazione in NAT hanno come per dire "minore efficacia" rispetto una con ip pubblico diretto.

Post unito automaticamente: 11 Marzo 2023

In un contesto HOME, anche il classico router con il firewall integrato del provider è più che sufficiente per avere un buon livello di sicurezza dato che hai comunque un'attack surface limitata. Già se si comincia ad esporre servizi all'esterno della lan il discorso cambia un pochino, ma in ogni caso esula dal livello di rete.
IDS/IPS (uno dei più famosi è snort) e firewall sono due cose differenti che servono a cose differenti.
In ogni caso, nel contesto HOME, un IDS/IPS è più inutile che dannoso. L'unico motivo valido per inserirlo nel mix è per puro scopo didattico IMHO

Perche dici che possono essere dannosi? Quali disservizi possono causare?
Ad ogni modo parliamo di scopi didattici

 

[cdtux]

Perche dici che possono essere dannosi? Quali disservizi possono causare?
Ad ogni modo parliamo di scopi didattici

E' solo un modo di dire, non è realmente dannoso in senso stretto.
In ogni caso l'unico inconveniente che può succedere è "bloccare" dei pacchetti per errore o che ti riempi di alert/log inutili. Nulla di tragico...
Buono studio