escludere nas da esterno

[contenitore21]

la mia domanda nasce dalle voci sul virus Cryptolocker, ma mi interessa anche a livello generale:
Se io volessi collegare il NAS solo alla LAN interna, ma non a internet, c'è un modo per farlo?
TS212, su rete fibra telecom, con router technicolor.

grazie

[simone.r]

Spafford sostiene che "the only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts". Lo stesso vale per i nas, se nel tuo caso la lan ha un accesso a Internet. Gli accorgimenti più immediati per ridurre i rischi contemplano la disattivazione di tutti i servizi (a te non utili) che permettano una comunicazione con l'esterno. Il passo successivo prevede accorgimenti sul router, l'installazione di un firewall e via spendendo.

[wozxyz]

Cryptolocker attacca anche le condivisioni di rete, quindi se un PC infetto ha visibilità sulle cartelle del NAS...

[contenitore21]

Cryptolocker attacca anche le condivisioni di rete, quindi se un PC infetto ha visibilità sulle cartelle del NAS...

chiarissimo, ma se non ci fossero condivisioni, sarebbe possibile escludere un indirizzo ip interno fisso (prenotato su router) dalla rete esterna? o forse è una prerogativa del router e quindi devo chiedere sul forum relativo? il nostro nas puo fare nulla a riguardo? Per esempio quali sono i servizi da disabilitare? (vedi post di simone).
Grazie a tutti

[merluzzo]

sarebbe possibile escludere un indirizzo ip interno fisso (prenotato su router) dalla rete esterna?

Per definizione le classi di IP riservati come "classi ad uso interno" NON dovrebbero essere indirizzabili dall'esterno salvo giochini sporchi e/o configurazioni esoteriche dell'ISP e/o end point (cioe' tu)

il nostro nas puo fare nulla a riguardo?

No, di solito e' il cosiddetto "bastion host" che si occupa di gestire quello che entra ed esce dalla rete.
Il nas puo' gestire cmq un certo filtraggio di ip ma perche' sia efficace bisogna sapere come e' fatta la rete. Ad esempio se nel tuo NAS non prevedi di riceve traffico dal router puoi bloccarne l'ip (es. 192.168.4.1) ma e' una situazione poco frequente/comune

Per esempio quali sono i servizi da disabilitare? (vedi post di simone).

Per default disabilita tutto e attiva solo i servizi che ti sono necessari.

PS la sicurezza, o meglio una ragionevole sicurezza, dipende dalla topologia di rete, da che dati contiene e che servizi deve svolgere. Per un uso normale attiva il firewall sul router, un buon antivirus su tutte le macchine + antispyware/malware e soprattutto cura il lato debole di ogni sistema, quello che sta tra la sedia e la tastiera ovvero l'utente

[contenitore21]

sarebbe possibile escludere un indirizzo ip interno fisso (prenotato su router) dalla rete esterna?

Per definizione le classi di IP riservati come "classi ad uso interno" NON dovrebbero essere indirizzabili dall'esterno salvo giochini sporchi e/o configurazioni esoteriche dell'ISP e/o end point (cioe' tu)

l'unica cosa che ho fatto sul router è stata di prenotare un IP interno, così da non doverlo cercare ad ogni riavvio, ma non ho, nè avrei saputo come, riservare "classi ad uso interno"

Grazie

[merluzzo]

l'unica cosa che ho fatto sul router è stata di prenotare un IP interno, così da non doverlo cercare ad ogni riavvio, ma non ho, nè avrei saputo come, riservare "classi ad uso interno"

Grazie

Tranquillo sei a posto cosi'
Il discorso del routing delle classi private era per dirti, in parole povere, che non dovresti ricevere sull'interfaccia esterna (l'indirizzo IP che ti assegna il tuo ISP) traffico da indirizzi privati.
Anche se fosse possibile praticamente tutti i prodotti end user sono fatti per scartare questo traffico. In soldoni in entrata non avrai mai, ad esempio, un IP 192.168.4.20 (che e' di classe privata) e anche se questo pacchetto arrivasse te lo scarta il firewall del router in automatico.

[PiaNi]

PS la sicurezza, o meglio una ragionevole sicurezza, dipende dalla topologia di rete, da che dati contiene e che servizi deve svolgere. Per un uso normale attiva il firewall sul router, un buon antivirus su tutte le macchine + antispyware/malware e soprattutto cura il lato debole di ogni sistema, quello che sta tra la sedia e la tastiera ovvero l'utente

Esatto, un ottimo e completo antivirus è quello che serve, perché se io utente apro volontariamente una mail, solo un antivirus aggiornato ti salva. Il nas di certo non va autonomamente a navigare su siti poco affidabili o non ha di certo la sua casella di posta .

[maximuss]

Tranquillo sei a posto cosi'
Il discorso del routing delle classi private era per dirti, in parole povere, che non dovresti ricevere sull'interfaccia esterna (l'indirizzo IP che ti assegna il tuo ISP) traffico da indirizzi privati.
Anche se fosse possibile praticamente tutti i prodotti end user sono fatti per scartare questo traffico. In soldoni in entrata non avrai mai, ad esempio, un IP 192.168.4.20 (che e' di classe privata) e anche se questo pacchetto arrivasse te lo scarta il firewall del router in automatico.

Ho avuto sempre un dubbio: quando si abilitano i vari torrent e Amule, i nostri qnap aprono porte a volonta' verso l'esterno. Puo' essere considerata una debolezza?

[merluzzo]

Ho avuto sempre un dubbio: quando si abilitano i vari torrent e Amule, i nostri qnap aprono porte a volonta' verso l'esterno. Puo' essere considerata una debolezza?

In astratto si, perche' qualsiasi servizio puo' essere il punto di accesso per intrusioni indesiderate, piu' servizi apri piu' probabilita' (teoriche) hai di subire un'intrusione.
Nella pratica si parla di ragionevole sicurezza in relazione al tipo di rete, ai dati contenuti e alla robustezza dei servizi offerti.

Chiaro che una macchina che fa solo traffico p2p difficilmente potra' interessare un attaccante motivato e capace che cerca di sfruttare le sue vittime, ma e' altrettanto vero che esistono anche attaccanti il cui solo scopo/divertimento e' causare danni per il solo gusto di farlo. Il mondo e' bello perche' e' vario o "avariato".. dipende dai punti di vista

[PiaNi]

Già, installati un firewall tipo Comodo e vedi a pc appena avviato quante porte sono aperte.