| inviato il 27 Febbraio 2025 ore 7:20
Scusa, ma sei davvero sicuro di mettere un server online, alla mercé di tutti?
Giusto per essere poco paranoico, negli ultimi 5 anni ho preso due ransomware che mi hanno criptato un NAS e un server in azienda.
Adesso il NAS se ne sta sereno sereno dietro il router e il server ci costa una persona che mantiene aggiornata la sicurezza seguendo tutti i possibili exploit.
Secondo me ti conviene pensare ad alternative, se vuoi dormire sereno la notte. |
| inviato il 27 Febbraio 2025 ore 8:28
Grazie Bubu appena possibile faccio qualche prova con Tailscale. Ciao Leopizzo, caspita! Potresti suggerirmi qualche soluzione per aumentare la sicurezza? |
| inviato il 27 Febbraio 2025 ore 8:31
A me lo faceva su un Router Fritzbox 7590, prova quello, prova quell'altro, alla fine ho cancellato il profilo Wireguard (nel router) e l'ho ricreato tale e quale, anche perchè non puoi fare grandi modifiche visto che è guidato, allora si è sbloccato e vedo tutta la lan. Misteri informatici! |
| inviato il 27 Febbraio 2025 ore 10:23
Ciao, noi non abbiamo un server MDM, e nemmeno io a casa ho un tale sistema.
Dipende, quindi, da cosa vuoi "vedere" da fuori.
Ad esempio a un server Plex (o via cloud QNAP) si accede anche se non e' in DMZ, ma solo utilizzando le loro app/web app specifiche.
Praticamente triangolano il tuo IP facendo in modo che sia il server che gli da' il routing necessario, ma hanno bisogno di un server online (che viene fornito per l'appunto da Plex e QNAP)
Come prima cosa, in caso, devi disabilitare il ping e i vari possibili servizi come DLNA, remote access, etc...
Non ti voglio spaventare, ma devi saperlo.
Purtroppo appena ti metti online, gia' per il solo rispondere al ping ti beccano l'IP.
Se poi finisce in qualche lista di distribuzione sei fritto, ci proveranno tutti ed e' solo questione di tempo che ti "penetrino".
DDos, tentativi di remote access, ftp, telnet, etc.. sono solo l'inizio.
Abbiamo un tool che ci gira sulla macchina che mette automaticamente sul firewall software un blocco sugli IP che cercano di connettersi 3 volte nel giro di poco tempo.
Il file con gli ip bloccati (16 caratteri ognuno) e' arrivato ai 130 mega in 6 mesi.
Alcuni giorni abbiamo piu' di 10000 entry, vuol dire che ci provano almeno 30000 volte, una volta ogni meno di 3 secondi per 24 ore. |
| inviato il 27 Febbraio 2025 ore 12:42
Grazie per la dettagliata spiegazione Leopizzo |
| inviato il 27 Febbraio 2025 ore 13:34
Ciao Leopizzo, grazie per le spiegazioni, adesso sono curioso anche io.
Se la rete locale espone all'esterno solo la porta su cui gira il server WireGuard e tutto il traffico da e verso il server passa crittografato attraverso il tunnel, quale vulnerabilità ci sarebbe? Se chi prova ad attaccare il server non ha le chiavi crittografiche, da quello che sapevo io un attacco forza bruta è quasi impossibile. O sbaglio? Pensi ci siano altre possibili vulnerabilità? |
| inviato il 27 Febbraio 2025 ore 14:06
Se viaggi via VPN, tipo WireGuard, come dici, dovrebbe essere sufficientemente sicuro.
Il problema e' la macchina in cui gira WireGuard, che in se e' esposta alla rete esterna, per cui torniamo nel problema della vulnerabilita' di cui sopra.
Se la macchina (o il device) ha accesso alla rete interna, il rischio rimane.
Ad esempio, se tra il router e la tua rete metti un FortiGate che fa da firewall+VPN, allora dovresti avere gia' una sicurezza maggiore, a patto di configurarlo decentemente.
Purtroppo sti st.ronzi sono bravi e sanno cosa proviamo a mettere in piedi per cercare di bloccarli.
Alla fine, l'unica soluzione e' mettere piu' paletti possibile, rendendogli il lavoro difficile, con la speranza che vadano a rompere da chi e' meno attento di noi. |
| inviato il 27 Febbraio 2025 ore 16:23
Mettendo un firewall tra router e rete, il firewall del router va disattivato? Potrebbe essere di aiuto anche abilitare l'antivirus del router? |
| inviato il 27 Febbraio 2025 ore 23:12
La cosa da fare sarebbe uscire dal modem con un cavo ethernet, entrare nel firewall, uscire dal firewall e entrare in uno switch, al quale attaccare Wi-Fi e tutta la rete domestica.
Se sai cosa fare, un firewall lo fai anche con un raspberry, ma un device dedicato è sicuramente più comodo.
Due firewall is megl che uan, ma non penso cambierebbe davvero molto.
[EDIT] Mi sono reso conto che non ho sottolineato che quanto ho scritto funziona per proteggere la rete, ma se proietti uno dei pc della rete direttamente (lo metti in DMZ) non serve a nulla. Sarebbe come non avere alcun firewall. |
| inviato il 28 Febbraio 2025 ore 14:12
Però regà, la sicurezza va bene ma non facciamola diventare paranoia.
In una rete domestica è il normale router (o modem/router a seconda di come è fatta la linea) a svolgere anche la funzione di firewall.
Che sia integrato nel dispositivo o che sia hardware dedicato alla fine della fiera non cambia, se devi collegarti da fuori un buco da cui passare tramite autenticazione lo devi comunque avere, aggiungendo un firewall in più si sposta solamente il problema da un'altra parte. |
| inviato il 06 Aprile 2025 ore 15:43
Buon pomeriggio e buona domenica scusate se sono sparito. Finalmente, dopo diversi impegni, ho dedicato un po' di tempo al server riuscendo a renderlo raggiungibile dall'esterno attraverso wireguard. Ho lasciato invariate le varie configurazioni di port forwarding, del firewall e di wireguard, l'unica modifica l'ho fatta al server nelle impostazioni Nat sostituendo il nome del computer (che il server metteva in automatico) con l'indirizzo ip ed ha funzionato. |
Che cosa ne pensi di questo argomento?Vuoi dire la tua? Per partecipare alla discussione iscriviti a JuzaPhoto, è semplice e gratuito!
Non solo: iscrivendoti potrai creare una tua pagina personale, pubblicare foto, ricevere commenti e sfruttare tutte le funzionalità di JuzaPhoto. Con oltre 253000 iscritti, c'è spazio per tutti, dal principiante al professionista. |
Metti la tua pubblicità su JuzaPhoto (info) |
JuzaPhoto contiene link affiliati Amazon ed Ebay e riceve una commissione in caso di acquisto attraverso link affiliati.
