Grazie.
Spero non ci siano errori: dai test fatti finora non stò riscontrando ne problemi ne malfunzionamenti.
Grazie.
Spero non ci siano errori: dai test fatti finora non stò riscontrando ne problemi ne malfunzionamenti.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Complimentoni Matteo, non smetti mai di stupirmi
Ottima anche la guida !!!
Faccio una piccola aggiunta/correzione:
Chi ha la buona abitudine di mantenere attivo il firewall anche dei client deve ovviamente ricordarsi di configurare anche quello...
Altrimenti potreste passare una buona mezzora per cercare di capire come mai il netbook con windows 7 di vostra sorella riesce a raggiungere perfettamente il server/router ma non il pc del salotto (anche lui con Windows 7)...
Eppure fino a qualche giorno fà funzionava perfettamente!!!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
...........
Questa configurazione prevede due reti VLAN ed un rete non taggata. L'interfaccia del server ha quindi una configurazione "ibrida" in quanto trasporta sia pacchetti taggati che pacchetti privi di tag.
Questa configurazione è stata adottata per evitare di dover riconfigurare i pc client connessi alla rete cablata per aggiungere alla configurazione il supporto alle VLAN, che come detto non è scontato siano dotati del supporto necessario.
Questa configurazione da sola sarebbe una porcheria inutile, in quanto un qualunque dispositivo con la corretta configurazione IP impostata staticamente e connesso alla rete open potrebbe accedere tranquillamente alla risorse sulla rete cablata e sulla rete wireless privata, vanificando tutto il lavoro: Il mezzo fisico di trasmissione e accesso alla rete è infatti lo stesso e non supporta le VLAN (mi riferisco allo switch netgear) quindi finisce per mischiare tutti i pacchetti in un'unica orgia TCP/IP che si propaga per tutta la rete.
A questa mancanza, è possibile ovviare con sufficiente efficacia lavorando sulla configurazione del firewall sul router.
Ciao, lavoro encomiabile
pure io verrei implementare qualcosa di simile, ma ho un dobbio..._:
ma se lo switch unmanaged che non gestisce le vlan è posto tra la rete privata e il firewall/server.... a cosa serve impostare le regole sul firewall del server?? Se io con un pc connesso alla wifi guest con ip valido, essendo già di per se sullo switch (che ripeto non gestische le vlan) posso sempre connettermi ad una macchina sulla rete privata dove non è impostato nessun firewall? Giusto ho nonho capito la tua rete??
Grazie
Grazie.
Il caso che hai indicato è un pò quello che ho indicato per l'AP, al punto 5 ed è il motivo per cui ho configurato subnet diverse per ogni interfaccia (cablata, wireless privata e wireless pubblica).
Testando la configurazione, i casi che mi sono venuti in mente sono i seguenti:
- Il client ottiene l'IP dal DHCP e quindi usa la configurazione di rete che ho previsto per la rete wireless pubblica: Dato che per accedere ad una subnet diversa (rete cablata o wireless privata) il pacchetto IP deve necessariamente transitare attraverso un gateway, le regole impostate sul gateway/firewall lasciano passare solo i pacchetti della rete wireless pubblica diretti verso internet, tutto il resto viene droppato.
- Il client si collega alla wireless pubblica e usa un IP statico, ad esempio, appartenente alla rete cablata o alla wireless privata: In questo caso, il suo pacchetto IP è taggato dall'AP come appartenente alla rete wireless pubblica. I client delle reti tagged non lo riconoscono come appartenente alla propria rete in quanto provvisto di un tag diverso. L'unico modo di accedere alla rete privata è quindi quella di accedere al gateway/firewall ma una delle regole impostate droppa tutti i pacchetti in ingresso/forward su una specifica interfaccia se la configurazione IP del pacchetto è diversa da quella che ho configurato.
In questa configurazione lo switch è effettivamente il punto debole: E' pertanto possibile che qualche client connesso alla rete cablata untagged risulti comunque raggiungibile e sia esposto ad un qualche tipo di attacco: Come detto, perchè le VLAN funzionino a puntino è necessario il completo supporto da parte di tutti i componenti collegati alla rete. Un ulteriore livello di sicurezza potrebbe essere semplicemente l'implementazione dei TAG sulla rete cablata e sulle schede di rete dei singoli client ad essa connessi.
Dai test che ho fatto, i miei pc di casa (Win7, win8 con firewall di Windows attivato e Linux) non risultano raggiungibili al normale PING e non ho mai avuto problemi con l'assegnazione degli indirizzi IP dal DHCP, segno che anche il traffico di broadcast è gestito sufficientemente bene.
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Ripensandoci, credo di non aver interpretato correttamente la tua domanda: Le regole del firewall di cui sopra hanno effettivamente lo scopo di proteggere principalmente il server (che è il firewall stesso), non i client. Forse in qualche punto ho scambiato i due termini rendendo la spiegazione poco chiara perchè nella mia configurazione server/gateway e firewall sono lo stesso dispositivo.
Fermo restando quando scritto prima, implementare una configurazione del genere introduce sicuramente un punto debole perchè espone effettivamente i client al tipo di intromissione che hai prospettato. Per questo tipo di problema si può fare poco senza la gestione delle VLAN da parte dello switch: L'unico modo per mantenere questa separazione con uno switch unmanaged (oltre alla configurazione del tag anche su tutti i client della rete cablata) sarebbe quello di installare l'access point direttamente collegato al server dedicandogli una scheda che non gestisca traffico untagged, separando quindi fisicamente il traffico proveniente dall'AP da quella della rete cablata (in questo modo, per accedere alle reti private si deve necessariamente transitare attraverso il gateway finendo per essere soggetti alle regole che ho impostato nel firewall).
Per la mia configurazione quello esposto nel thread rappresenta un buon compromesso in termini di costi/disponibilità di NIC/sicurezza: Non potendo installare un'altra scheda di rete nel server, il completamento perfetto sarebbe quello di sostituire lo switch con un dispositivo managed, se ne trovano di discreti a partire dai 100€ circa per un 8 porte gigabit.
Ho capito bene questa volta?
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Ciao,sì capito bene.
Il mio scopo è proprio quello di proteggere, sì il firewall e tutto quello a valle di esso, ma anche tutti i client connessi tramite AP. Nella malaugurata ipotesi che un client connesso alla rete WIFI guest potesse accedere ad un client su WIFI privata e sfruttando la sua catena di FORWARD ( che di solito è ACCEPT) veicolare verso la LAN privata sarebbe un problema.
Sicuramente la meglo sarebbe avere come dici lo switch managed. Io devo implementare un firewall (zeroshell) con due AP (private + guest) + LAN privata + internet su una MOBO con 3 NICs quindi i due access point li devo collegare tramite uno switch ( che ho già) unmanaged. O mi trovo una MOBO con 3 slot PCI o accetto un rischio del genere.
Nel mio caso le policy di default sono tutte in DROP (input, output e forward), quindi passa solo il traffico esplicitamente autorizzato.
Lo switch, per quanto sopra esposto, risulta essere il punto debole ma è per la rete di casa mia, abito in campagna e l'AP ha la potenza necessaria per coprire appena la casa quindi il rischio di subire attacchi di questo tipo è accettabile. Anche in caso di attacco, non ne avrei comunque un gran danno.
Sicuramente non è una implementazione che si può fare come soluzione "professionale".
Tornando al tuo caso, se hai 3 NIC e due AP non dovrebbe essere un problema: Una è l'interfaccia outside del router che fornisce l'accesso internet a tutta la rete e le altre due le tieni per la lan interna. Su una colleghi direttamente l'AP guest mentre sull'altra lo switch che serve i client cablati e l'AP per la rete privata. Non ti servono neppure le VLAN, direi...
Sbaglio?
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Zeroshell non la conoscevo... Sembra una gran bella distro!
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Pure io non la conoscevo...ed è anche italiana!! Sembra che sia comunque tra le migliori....in un futuro mi piacerebbe spostarla su una mobo embedded tipo Alix o simili (200 MB circa)
ritornando al mio problema.. ho sì un box con tre NICs ma ho bisogno di avere wifi guest+privato su ogni singolo AP in quanto devo dividere il piano terra e il primo piano ( un AP - verifica da precedente router wifi - non ce la fa), quindi 1 (internet)+1 (2 AP tramite switch)+1 (server casalingo - voglio separare FW e SRv).
Ora vista la possibilità rischiosa già menzionata ho appena acquistato uno switch cisco 8p (sg200-8) a cui connetterò i 2 AP e tutta la rete interna. L'altra porta la lascio per il server casalingo.
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)