DOMANDA Questione sicurezza server UnRaid

[Francesco7]

Sono nuovissimo a tutto ciò che riguarda homeserver e sicurezza in questo campo, ho da poco creato il mio primo server utilizzando UnRaid, utilizzo principale come mediaserver e storage dati vari, per il momento utilizzo i seguenti container: Krusader, Easy Wireguard, Plex e duckdns ; ho da poco seguito una guida italiana per il Wol e WoW.
Ho diversi dubbi riguardo la sicurezza:

DUBBIO SU EASY WIREGUARD
Ho installato Easy Wireguard e dato che sono riuscito ad accedere alla web GUI di UnRaid anche da rete esterna vuol dire che è andato tutto a buon fine, l'unico dubbio è che non ho dovuto toccare alcuna impostazione VPN dalle impostazioni di UnRaid (ho anche provato ma non mi permette nemmeno di attivare il toggle), forse perchè si tratta della versione facilitata di Wireguard, inoltre un altro dubbio è: tramite Wireguard posso aprire un tunnel vpn tra i miei dispositivi fuori dalla rete di casa ed il mio server in maniera sicura, ciò mi permette di rendere sicuro anche l'utilizzo degli altri docker o devo collegarli a wireguard?

DUBBIO SUL "W.O.W."
Ho seguito questa guida molto esaustiva su come impostare WoL e WoW per i tuoi dispositivi, ciò che non mi convince è se il procedimento apra vulnerabilità verso il mio server, dato che la guida è particolarmente lunga provo a riassumere.
Ho verificato che la scheda madre del mio server supportasse il WoL tramite terminale su UnRaid, ho aggiunto una regola (tcp/udp) al path forwarding del mio router verso il mio server, ho scaricato sul dispositivo da cui voglio comandare l'accensione da remoto un app/software che attraverso l'inserimento di: numero di porta aperto, mac, e ddns che punta al mio ip permette effettivamente l'accensione da remoto.

inoltre un altro dubbio è: per come è impostato attualmente wireguard mi permette di poterlo utilizzare anche come vpn personale per le cose più comuni(tipo torrent, netflix ecc.) semplicemente collegandomi con il dispositivo che voglio al server tramite vpn?

mi scuserete per l'inesperienza e la scrittura che potrebbe risultare confusa, ovviamente chiedetemi qualsiasi dettaglio possa servire, grazie mille a tutti.

 

[r3dl4nce]

Wireguard è una VPN di nuova generazione, valida e sicura, per evitare complesse configurazioni potresti valutare anche Tailscale, per uso personale fino a 20 dispositivi è gratuito. Chiaramente non installi il clienti wireguard/tailscale su dispositivi insicuri, lo installi sul tuo portatile / tuo smartphone e lo attivi quando sei in giro e hai necessità di connetterti al server unraid. Tailscale tra l'altro lavorando di NAT traversal non ha neppure bisogno di aprire porte sul firewall / router, cercando di stabilire connessioni dirette tra client e server con meccanismi di tipo hole punching, sfruttando STUN e altri protocolli (interessante articolo da leggere). Tailscale usa comunque Wireguard per la VPN, quindi la sicurezza è assicurata.
Riguardo al Wake on Wan, io lo eviterei, dato che richiede una inutile eccezione di sicurezza sul firewall. I caso in cui devo accendere apparati interni alla rete, faccio stabilire VPN con un mikrotik interno alla rete e il WoL lo faccio fare al mikrotik. Nel tuo caso, se non vuoi tenere acceso 24h/24 il server unraid, puoi andare di Wake on Wan, ma ricordati che apri un accesso dal firewall che va a diminuire la sicurezza che avevi già impostato utilizzando la VPN

 

[Francesco7]

Wireguard è una VPN di nuova generazione, valida e sicura, per evitare complesse configurazioni potresti valutare anche Tailscale, per uso personale fino a 20 dispositivi è gratuito. Chiaramente non installi il clienti wireguard/tailscale su dispositivi insicuri, lo installi sul tuo portatile / tuo smartphone e lo attivi quando sei in giro e hai necessità di connetterti al server unraid. Tailscale tra l'altro lavorando di NAT traversal non ha neppure bisogno di aprire porte sul firewall / router, cercando di stabilire connessioni dirette tra client e server con meccanismi di tipo hole punching, sfruttando STUN e altri protocolli (interessante articolo da leggere). Tailscale usa comunque Wireguard per la VPN, quindi la sicurezza è assicurata.
Riguardo al Wake on Wan, io lo eviterei, dato che richiede una inutile eccezione di sicurezza sul firewall. I caso in cui devo accendere apparati interni alla rete, faccio stabilire VPN con un mikrotik interno alla rete e il WoL lo faccio fare al mikrotik. Nel tuo caso, se non vuoi tenere acceso 24h/24 il server unraid, puoi andare di Wake on Wan, ma ricordati che apri un accesso dal firewall che va a diminuire la sicurezza che avevi già impostato utilizzando la VPN

Innanzitutto grazie per la risposta, secondo te dunque non vale la pena il Wake on Wan? ne avrei esigenza perchè raramente sono nel luogo dove ho il server e dovrei chiedere sempre a qualcuno di accenderlo o spegnerlo, avevo pensato anche ad una soluzione con vpn su router ma a al momento ho solo il Tim hub, dovrei acquistarne uno nuovo e potrebbe essere effettivamente un valido upgrade futuro per la sicurezza e magari per le performance.(avevo anche visto qualcosa riguardo ai fingbox e le possibilità di controllo)
WireGuard invece è già settato e funzionante, piuttosto mi chiedo se e come farlo funzionare anche come vpn personale, inoltre per la questione dei container c'è bisogno di obbligare il traffico attraverso wireguard o è sufficiente così?

 

[r3dl4nce]

Non uso unraid, quindi non so di preciso come unraid gestisce i container, se sono docker dipende com'è configurata la network del container, se è mappata sulla rete dell'host (unraid) una volta che hai stabilito la VPN sull'host, dovresti accedere anche ai container.
Ti consigliavo Tailscale per la sua facilità di utilizzo e perché sfruttando gli algoritmi di NAT traversal di cui ho linkato spiegazione, non richiede neppure apertura porte nel router, rendendo quindi ancora più sicura la già sicura VPN wireguard.
Per il Wake on Wan, vedi te, io non lo utilizzo, ma generalmente in questi caso installo sempre un apparato hardware a cui ci si possa connettere in VPN che poi possa effettuare il Wake on Lan. Nel tuo caso casalingo, non avendo questa possibilità, se vuoi accendere in remoto, puoi solo usare Wake on Wan, consapevole che è un (minimo) rischio di sicurezza. Te la butto lì, hai per caso Echo dot? Se sì potresti usare la skill wol di Alexa https://www.wolskill.com e effettuare il WOL dall'app Alexa io lo uso per comodità per farmi accendere il PC visto che sono pigro e non ho voglia di premere il bottone di accensione 😁 😁 😁 😁 🤣

 

[Francesco7]

Purtroppo non al momento ma è un'opzione che potrei tenere in conto, in realtà ho anche una presa smart e potrei impostare magari che il server si accenda ogni volta che rileva corrente, tanto non credo possano esserci problemi di sicurezza su una presa smart 🤣

 

[Francesco7]

Non credo ci sia bisogno di aprire un nuovo thread perchè l'argomento è pertinente, quindi continuo qui.

Secondo voi quale è il miglior metodo per accedere al WoL?

Le opzioni sono: nuovo modem-router per insallare una connessione con WireGuard e accedere così alla LAN, router collegato al modem-router TIM già in mio possesso per lo stesso utilizzo descritto prima(non so se possa funzionare però), dispositivo smart come alexa(che prendo come punto di riferimento perchè più economico)

A livello di sicurezza credo siano tutti molto sicuri, l'unica differenza sarebbe che con l'echodot sarei limitato nella gestione e accesso alla mia LAN da remoto, al momento in relatà non necessito di altro ma è per future proofing insomma...

Ora a livello economico un modem router nuovo sarebbe per me al momento una spesa un po' importante, un router da collegare sarebbe molto più accessibile ma non ho idea di quale scegliere e se come detto prima possa funzionare, l'echodot sarebbe invece probabilmente la soluzione più economica.

Qualche consiglio?

Post unito automaticamente: 19 Gennaio 2023

Anche se pensandoci aggiungere un router aggiungerebbe troppa complessità alla linea di casa, praticamente oltre al modem-router Tim ho 2 powerline per portare connessione via cavo nella stanza interessata e a questo capo della powerline ho collegato un switch, quindi probabilmente la soluzione più semplice e veloce è alexa.
Poi se lo scenario che ho descritto non rappresenta un problema allora vada per router.

 

[r3dl4nce]

Soluzione semplice e facile: e ho dot con la wol skill.
Soluzione "divertente" ovvero devi "divertirti" a imparare e configurare il tutto ma, hai un dispositivo eccezionale: un router mikrotik con wireguard o zerotier che fa da vpn e poi uno script per il wake on lan, soluzione che adotto io. Dispositivo che può farti anche milioni di altre funzioni utili

 

[Francesco7]

Soluzione semplice e facile: e ho dot con la wol skill.
Soluzione "divertente" ovvero devi "divertirti" a imparare e configurare il tutto ma, hai un dispositivo eccezionale: un router mikrotik con wireguard o zerotier che fa da vpn e poi uno script per il wake on lan, soluzione che adotto io. Dispositivo che può farti anche milioni di altre funzioni utili

Molto interessante come soluzione quella del router mikrotik, sai darmi qualche informazione in più su ciò che è in grado di fare?
Inoltre nel mio caso dovrei collegarlo allo switch e da lui agli altri dispositivi o viceversa? invece per quanto riguarda il modello quale mi consigli?

 

[r3dl4nce]

Se vuoi puoi provare routeros su una VM

MikroTik

MikroTik makes networking hardware and software, which is used in nearly all countries of the world. Our mission is to make existing Internet technologies faster, more powerful and affordable to wider range of users.

mikrotik.com

Come modello ti basta uno base base, io lo prenderei con almeno porte Gigabit, ma dipende da quanto vuoi spendere

 

[Francesco7]

Al momento non ho grande disponibilità dato che do come priorità l'acquisto di un ups, sarà probabilmente un acquisto che farò in un futuro prossimo e nel frattempo mi informo per bene, piuttosto la versione meno costosa ha solo lan 10/100, non potrebbe essere un collo di bottiglia? che ne dici di questo?
Inoltre ho un dubbio, la sua funzione è quella di lavorare insieme al router compreso nel modem-router dato dall'ISP e non di sostituirlo, giusto?

 

[r3dl4nce]

In realtà lo prenderesti solo per fargli fare funzione di vpn+wol non dovrebbe neppure farti routing. Magari però una volta preso e iniziato a capire le enormi potenzialità, potresti essere invogliato a usarlo per più funzioni, questo lo sai te. Se vuoi un modello basilare al massimo andresti su RB750r2 però appunto siamo al minimo sindacale, neppure Gigabit. Se pensi di volerlo poi usare per altri scopi allora dipende. Io a casa ho un hAp ac3 che gestisce la connessione PPPoE con TIM (ho FTTC Tim con il tim hub ma fa solo da modem per la VDSL2), fa da router, firewall, dhcp, dns, server openvpn, wake in LAN tramite vpn, access point, in caso di connessione TIM guasta fa da client per l'hotspot del cellulare così da navigare usando il 4G dello smartphone, ecc