sicurezza su rete domestica

Firewall, Server, Monitoring e tutto quello che riguarda la sicurezza della nostra Linux Box

sicurezza su rete domestica

Messaggioda debiano79 » 30/05/2017, 21:23

salve a tutti,
vorrei fare una domanda, ma sono talmente ignorante in materia reti che non so che domanda fare 8-)
provo a spiegare. in una classica rete domestica gestita da un modem/router, avrei in mente di inserire un "qualcosa" che faccia da firewall-anitvirus-antiintrusione-antitutto... per proteggere tutto il traffico in ingresso verso i vari pc win/linux della rete locale.
di cosa ho bisogno? un server? un gateway? un firewall? altro? che tipo di hardware?
ho guardato un pò in giro ed ho trovato progetti come zeroshell e openwrt, ma non capisco se e come possono fare al caso mio.
ho letto che in alcuni modem/router si può installare diretttamente openwrt, ma nel mio (che ho comprato da poco) mi sembra di capire che non si può fare. è un tp-link vr600.
quindi ho pensato ad un sistema arm, tipo raspberry o orange pi, da interporre tra il router e la lan (o tra la linea telefonica e il router??), ma anche qui vedo problemi: come entro/esco con la linea internet dalla board? e il wifi?
ho le idee confuse... consigli?
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda marcomg » 31/05/2017, 8:18

debiano79 ha scritto:avrei in mente di inserire un "qualcosa" che faccia da firewall-anitvirus-antiintrusione-antitutto... per proteggere tutto il traffico in ingresso verso i vari pc win/linux della rete locale.

Mettiti l'animo in pace, la cosa che vuoi fare non esiste. Senza contare che per fare da antivirus dovresti analizzare ciascun pacchetto in ingresso e uscita. Ammesso che tu ci riesca (pacchetti non crittografati) ti servirebbe una potenza di calcolo non indifferente per non avere tempi di latenza spaventosi.

Io ho installato openwrt perché il firmware del mio router era particolarmente instabile e aveva un grosso bug di sicurezza mai risolto in quanto fuori produzione da anni e non più supportato.
Quello gli faccio fare è cosa da normalissimo router (anzi anche meno visto che tengo upnp disattivato) con connessioni in ingrasso bloccate. Volendo puoi mettergli cose fighette come qos, rete per ospiti isolata, e molto altro. Volendo gli puoi far fare qualsiasi cosa possa fare un computer, ma con la potenza di calcolo che si ritrova è difficile fargli fare molto altro e sinceramente neanche mi interessano/servono.

Tu che devi fare?
Windows is what you open when you want fresh air from outside.
Avatar utente
marcomg
Hero Member
Hero Member
 
Messaggi: 5550
Iscritto il: 22/08/2011, 18:54

Re: sicurezza su rete domestica

Messaggioda debiano79 » 31/05/2017, 11:58

lo scopo sarebbe quello di proteggere più che altro i sistemi win gestiti da persone poco esperte, che cliccano ovunque e si prendono i virus ogni 2x3 ed evitare intrusioni dall'esterno.

dici che "non esiste", ma allora tutte quelle distro linux firewall/router che scopo hanno?
la cosa non è fattibile neanche tralasciando l'antivirus?
fare cose fighette non mi interessa, vorrei fare qualcosa di utile e funzionale.
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda byte64 » 31/05/2017, 13:12

debiano79 ha scritto:lo scopo sarebbe quello di proteggere più che altro i sistemi win gestiti da persone poco esperte, che cliccano ovunque e si prendono i virus ogni 2x3 ed evitare intrusioni dall'esterno.
dici che "non esiste", ma allora tutte quelle distro linux firewall/router che scopo hanno?
la cosa non è fattibile neanche tralasciando l'antivirus?
fare cose fighette non mi interessa, vorrei fare qualcosa di utile e funzionale.

Dato che il problema sono gli utenti windows....va benissimo zeroshell, ha tutto ciò che serve, ma se vuoi imparare un po' di cose, puoi configurarti un proxy-gateway con controllo della navigazione-posta e quan'altro.
Ti servono un pc disponibile, linux (ovviamente debian è ottimale), squid, clamav, p3scan, havp, coi quali potrai controllare da eventuali virus, malware ed altro sia la posta che entra e esce che la navigazione dei pc windows.
Riguardo alle possibili connessioni in ingresso da internet dovrai configurare un minimo il firewall integrato nel tuo router adsl, oppure utilizzare iptables sul pc di cui sopra.
In alternativa ci sono degli appliance hardware, che però alla fine utilizzano più o meno gli stessi software che ti ho indicato ed in più generalmente inseriscono roba closed, che magari devi anche pagare a canone per farla funzionare.
Tra il router e la linea telefonica non puoi metterci nulla......devi operare tra il router e la rete di casa.
Ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 366
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: sicurezza su rete domestica

Messaggioda debiano79 » 31/05/2017, 13:51

una cosa non mi è ancora chiara:
montando un pc con zeroshell, mi serve qualche hw specifico? voglio dire, esco dal router con un cavo lan ed entro nel pc... poi come esco? serve una seconda scheda di rete? uno switch? oppure posso rimandare "l'uscita filtrata" al router tramite la stessa scheda di rete? perchè altrimenti perderei il wifi del router, cosa che non voglio e non avrei abbastanza uscite lan per collegare i dispositivi cablati, rendendo tutto inutile.
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda byte64 » 31/05/2017, 14:38

debiano79 ha scritto:una cosa non mi è ancora chiara:
montando un pc con zeroshell, mi serve qualche hw specifico? voglio dire, esco dal router con un cavo lan ed entro nel pc... poi come esco? serve una seconda scheda di rete? uno switch? oppure posso rimandare "l'uscita filtrata" al router tramite la stessa scheda di rete? perchè altrimenti perderei il wifi del router, cosa che non voglio e non avrei abbastanza uscite lan per collegare i dispositivi cablati, rendendo tutto inutile.

Avere due schede di rete è la cosa migliore, soprattutto se usi un sistema prepacchettizato come zeroshell.
Volendo tenere sotto controllo anche il wifi hai bisogno anche uno switch con wifi integrato e utilizzare il wifi del router adsl solo per i client "sicuri" che bypassano così il proxy.
Ci sono diverse possibilità, più o meno complesse, dipende da quanta voglia hai di sbatterti e anche da quanto puoi investire.
Di quanti clients stiamo parlando?
byte64
Sr. Member
Sr. Member
 
Messaggi: 366
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: sicurezza su rete domestica

Messaggioda debiano79 » 31/05/2017, 14:51

parliamo di 4-5 pc cablati, 3-4 laptop wifi e qualche smartphone.
i clients win sono in tutto 4-5, ma alcuni cablati e alcuni wifi.
quinidi un sistema arm embedded è inutilizzabile mi pare di capire?
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda byte64 » 31/05/2017, 17:28

Due rapidi numeri, una cpu nell' intorno degli 1,5/2GHz, dai 2GByte di ram a salire, più sali e meglio è, dato che puoi far lavorare il sistema tutto li.
Per la memoria "fissa" possono bastare anche pochi Gigabytes, può andare benissimo un vecchio HD da 40GB o anche un memoria flash/usb da 4/8 GByte.
Una decina di client cos' li gestisci bene.
byte64
Sr. Member
Sr. Member
 
Messaggi: 366
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: sicurezza su rete domestica

Messaggioda debiano79 » 31/05/2017, 21:47

considerato che al massimo ci sono 2-3 pc accesi contemporaneamente, con una di queste e una scheda di rete usb ce la
posso fare?
http://www.orangepi.org/orangepipc/
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda ferdybassi » 31/05/2017, 22:18

Se reputi Zeroshell troppo complesso, ti consiglio Untangle.
la sua versione community offre tutti gli strumenti che chiedi: un antivirus, un antimalware, un antispyware e un firewall. Ti serve solo un PC decente con almeno due schede di rete.
Mettiti però il cuore in pace: queste cose non proteggeranno gli utenti che cliccano qua e là, renderanno solo un pochino più difficile che si riempiano di schifezze.
Immagine  Immagine
Avatar utente
ferdybassi
Administrator
Administrator
 
Messaggi: 3265
Iscritto il: 28/12/2006, 4:22
Località: S. Angelo Lodigiano (LO)

Re: sicurezza su rete domestica

Messaggioda byte64 » 01/06/2017, 7:43

debiano79 ha scritto:considerato che al massimo ci sono 2-3 pc accesi contemporaneamente, con una di queste e una scheda di rete usb ce la
posso fare?
http://www.orangepi.org/orangepipc/

Si, ma le prestazioni saranna sicuramente minime, hai un budget? Oppure hai un vecchio pc in giro per casa o da qualche parente/amico?
Se poi ti interessa anche imparare un po' di "linux" crearti un sistema ad hoc è un ottima scelta, più semplice di quanto pensi se hai un po' di dimestichezza con shell e editor di testi. Ottimizzeresti il sistema con solo quello che ti serve, le distribuzioni già pronte in genere hanno millemila funzioni che il più delle volte non utilizzi e confondono soprattutto chi è alle prime armi.
Puoi farti un idea di quante distribuzioni verticalizzate ci sono facendoti un giro su http://www.distrowatch.com.
byte64
Sr. Member
Sr. Member
 
Messaggi: 366
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: sicurezza su rete domestica

Messaggioda debiano79 » 01/06/2017, 12:02

@byte64
di vecchi pc ne ho una montagna, il fatto è che non mi va di tenere acceso 2-300W di pc h24. se riesco ad utilizzare un arm (10-15W) bene, altrimenti dovrò rinunciare, o mi conviene cambiare router con uno "moddabile".

@ferdybassi
grazie della segnalazione, sembra interessante, lo proverò.
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda byte64 » 01/06/2017, 12:38

debiano79 ha scritto:@byte64
di vecchi pc ne ho una montagna, il fatto è che non mi va di tenere acceso 2-300W di pc h24. se riesco ad utilizzare un arm (10-15W) bene, altrimenti dovrò rinunciare, o mi conviene cambiare router con uno "moddabile".

Un qualsiasi router per fare quello che vuoi tu non c'è la farà mai consumando solo 10-15W.
Un firewall che faccia anche da content filter ha bisogno di potenza elaborativa, non troppo, ma ne ha bisogno e per quella i watt servono.
Il fatto che tu monti un pc con alimentatore anche da 500W non significa che poi li consumi tutti, se sulla scheda madre hai per esempio una vecchia cpu celeron D o un vecchio pentium core 2 consumerà ( a manetta) tra i 30 e 70 Watt, più che abbondanti per i tuoi scopi.
Aggiungendo anche la ram e un disco che praticamente sarà fermo tutto il tempo, rimani sempre e comuqnue sotto i 100W abbondantemente. ( Sono stato parecchio largo con i conti)
Un router moddabile va bene se rinunci al content filter per più di 1/2 utenti e ti accontenti di bloccare qualche porta in ingresso e/o uscita. E comunque lavorerà sempre a manetta, con relativi problemi di surriscaldamento più annessi e connessi.
Un appliance dedicato per i tuoi scopi consumerà comunque intorno ai 20/25W, considerato che è ottimizzato al massimo.
Comuqnue alla fine la scelta è tua, spero di esserti stato di aiuto.

Ciao
byte64
Sr. Member
Sr. Member
 
Messaggi: 366
Iscritto il: 07/01/2017, 19:02
Località: Bergamo

Re: sicurezza su rete domestica

Messaggioda debiano79 » 01/06/2017, 13:09

scusa ma, un arm quad-core 1.6ghz è meno potente di un vecchio pentium?? mi resta un pò difficile da credere.
se dovessi usare un vecchio desktop dovrei trovare il modo di avviarlo solo quando si accende uno dei pc da proteggere, così sarebbe più accettabile come soluzione. basterebbe pingare i pc con un microcontrollore tipo arduino (da pochi mA) e quando trova uno dei pc accesi avvia il server col WOL o chiudendo direttamente l'interruttore con un relè. un pò noioso da fare, ma fattibile.
certo che sei stato utile, per questo ringrazio te e gli altri intervenuti.
ciao
debiano79
Newbie
Newbie
 
Messaggi: 22
Iscritto il: 04/03/2014, 12:15

Re: sicurezza su rete domestica

Messaggioda marcomg » 02/06/2017, 8:04

byte64 ha scritto:proxy-gateway con controllo della navigazione-posta e quan'altro.

Si ma la posta (soprattutto se utonti) verrà utilizzata trami browser e se il provider non è una barzelletta utilizzerà la cifratura ssl (e addio scansione antivirus).
ferdybassi ha scritto:Mettiti però il cuore in pace: queste cose non proteggeranno gli utenti che cliccano qua e là

:)
ferdybassi ha scritto:renderanno solo un pochino più difficile che si riempiano di schifezze

A questo punto basta un filtro sui DNS ma se metti una whitelist auguri poi a gestire le lamentele ;D
debiano79 ha scritto:scusa ma, un arm quad-core 1.6ghz è meno potente di un vecchio pentium?? mi resta un pò difficile da credere

Ovviamente dipende. Se è un armv8 di nuova generazione è sicuramente più potente di un pentium 3 :)

Comunque sono dell'opinione che il gioco non valga la candela. Porte in ingresso bloccate? Lo fa qualsiasi router. Analisi antivirus/antispyware? Inutile visto che il 90% dei dati passanti sono crittografati.
Al firewall che gli fai filtrare? Tutte le connessioni in ingresso ok (ma tanto lo fa già il router), poi?
Windows is what you open when you want fresh air from outside.
Avatar utente
marcomg
Hero Member
Hero Member
 
Messaggi: 5550
Iscritto il: 22/08/2011, 18:54

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite