Burstnet Informatica CONFIGURARE UN ROUTER 1 SOMMARIO Perché configurare un router Aspetti da considerare nella scelta di un router Mettere in Sicurezza il router, i primi passi da compiere . Virtual server Port triggering DMZ UPnP Configurazione di un router Burstnet Informatica 2 PERCHÉ CONFIGURARE UN ROUTER Molti router, per la connessione ad internet, sono già configurati di default, che fare dunque? Burstnet Informatica Lasciare tutto così com’è, tanto funziona!!! Forse è meglio dedicare alla configurazione un po’ del nostro tempo … L’utilizzo principale che molti associano ai router è quello di permetterci di raggiungere la rete internet, ma noi siamo tecnici di rete e non possiamo accettare questa visione semplicistica delle cose. (Ripasso) Per noi la definizione giusta di router è: una periferica che inoltra I pacchetti tra due o più reti. 3 PERCHÉ CONFIGURARE UN ROUTER Burstnet Informatica Un router con le impostazioni di default sarebbe esposto a chiunque avesse un minimo di competenze informatiche. Cosa potrebbe fare un intruso che avesse accesso al vostro router senza protezione? 4 PERCHÉ CONFIGURARE UN ROUTER Potrebbe disabilitare l’utilizzo del router al vostro cliente, il quale giustamente vi telefonerà con un tono non troppo cordiale! Cambiare l’SSID del router. Cambiare la Passphrase della connessione wireless. Rallentare la linea, scaricando ad esempio con il proprio e-mule. Aprire chiudere porte, infatti è noioso scaricare con e-mule con un id basso!!! Ecc. ecc. Burstnet Informatica 5 ASPETTI DA CONSIDERARE NELLA SCELTA DI UN ROUTER Per prima cosa bisogna considerare per quale scopo state configurando il router Burstnet Informatica Collegare due sedi remote? Accesso ad internet? Il vostro cliente è un utente privato o forse un’azienda? Quante connessioni dovrà gestire? Quali servizi sono richiesti? QoS Virtual server DMZ Supporto wireless 6 ASPETTI DA CONSIDERARE NELLA SCELTA DI UN ROUTER Il router dovrà permettere il collegamento ad internet? Se si, qual è il provider della linea? Fastweb, Telecom, Infostrada ecc. Broadband vs ADSL/ADSL2+ Mi servono delle porte switch nel router? Burstnet Informatica Mi servono delle porte usb nel retro del computer? Utili per una pen drive, per collegare una stampante ecc. 7 ASPETTI DA CONSIDERARE NELLA SCELTA DI UN ROUTER Ultimo in elenco ma non per importanza il costo Quanto sarà disposto il mio cliente a pagare per un router? Riuscirò a fargli comprendere i benefici di una periferica adatta alla sua situazione? Burstnet Informatica Probabilmente no … 8 METTERE IN SICUREZZA IL ROUTER – IL PRIMO PASSO DA COMPIERE – Il primi passi da compiere quando ci troviamo a configurare un router sono: Configurare una password per accedere al router diversa da quella di default Burstnet Informatica http://routerpasswords.com/ Disabilitare l’accesso al pannello di amministrazione via wireless In prima istanza sarebbe bene disabilitare anche l’eventuale supporto wireless 9 METTERE IN SICUREZZA IL ROUTER – IL PRIMO PASSO DA COMPIERE – Abilitare i LOG nel router Se decidiamo di abilitare il supporto wireless sarebbe bene tenere in considerazione (nei casi ove possibile) Burstnet Informatica un filtro per MAC address. Un protocollo sicuro No WEP, no WPA Si WPA2 Oppure il nuovo QSS 10 QSS(QUICK SECURITY SETUP) Burstnet Informatica Is a function which complies with WPS which helps to standardize and simplify ways of setting up and configuring security on a wireless network. Traditionally, users would have to manually create a wireless network name (SSID), then manually enter a creative, yet predictable security key on both the access point and the client to prevent unwanted access to their wireless network. By using QSS function you can connect to your wireless network with worry-free wireless security configuration. 11 QSS(QUICK SECURITY SETUP) After you connect your wireless network by using QSS, it will be secured automatically. If the wireless adapter supports Wi-Fi Protected Setup (WPS), you can establish a wireless connection between wireless adapter and router by using either PBC(Push Button Configuration) method or PIN(Personal Identification Number) method. In most case is needed to install the driver for the Wireless Adapter and then install QSS.exe program on your computer Burstnet Informatica 12 VIRTUAL SERVER Burstnet Informatica Virtual Server (Server virtuale) Per proteggere la rete, il firewall NAT esclude i pacchetti non riconosciuti. Nessuno dei computer protetti da questo firewall è visibile esternamente. Per renderne accessibile qualcuno, è necessario abilitarlo all'interno della mappa di Virtual Server. La funzione Virtual Server è anche nota con il nome di inoltro delle porte. Virtual Server consente di impostare i servizi pubblici della rete. Quando un utente Internet esterno richiede di accedere a una specifica porta della rete, il router inoltra la richiesta al computer appropriato. Affinché possa essere riconosciuto da Virtual Server, il computer deve essere configurato per un indirizzo IP statico. Un server virtuale è costituito da un indirizzo IP e da una porta di servizio; tutte le richieste trasmesse a questa porta vengono reindirizzate al computer associato a essa in Virtual Server. Ad esempio, se l'indirizzo del server FTP (porta 21) è 192.168.123.1, del server Web (porta 80) è 192.168.123.2 e del server VPN (porta 1723) è 192.168.123.6, sarà necessario specificare la tabella di mappatura del server virtuale indicata di seguito. 13 VIRTUAL SERVER Indirizzo IP server 192.168.123.1 192.168.123.1 192.168.123.6 Attiva X X X Burstnet Informatica Porta di servizio 21 80 1723 14 PORT TRIGGERING Burstnet Informatica In informatica, il port triggering è una tecnica simile al port forwarding, con la differenza che non c'è necessariamente bisogno di conoscere l'indirizzo IP del destinatario. Il port triggering agisce su tutta la LAN o su un intervallo di indirizzi IP (dipende dal modello di router) ed apre una porta non appena sente la richiesta di trasferimento. 15 PORT TRIGGERING Burstnet Informatica Differenze con il port forwarding: Poniamo per esempio che venga usata la porta 5555 per richieste in uscita (upload) e contemporaneamente arrivi una richiesta in entrata sulla stessa porta. Nel port forwarding la richiesta in entrata non potrà passare e dovrà aspettare che la porta si liberi. Invece con il port triggering, il router aprirà temporaneamente un'altra porta (o altre) in modo da evitare le attese. Ecco perché è utile nel gaming online: in questi casi bisogna gestire molte richieste contemporanee in entrata e in uscita; trovare una porta occupata creerebbe ritardi meglio conosciuti come Lag. 16 DMZ Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne che esterne che permette, però, connessioni esclusivamente verso l'esterno: gli host attestati sulla DMZ non possono connettersi alla rete aziendale interna. Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". Burstnet Informatica 17 DMZ Burstnet Informatica Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità. Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping“, implementata sul sistema che agisce da firewall. 18 DMZ Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI). Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente internet). Burstnet Informatica 19 UPNP Universal Plug and Play (UPnP) Typical Scenario The client is behind a NAT and wants to connect to an FTP server supporting PORT mode only (because the server is behind a NAT as well or due to security / firewall policies). In this case without UPnP the ports have to be manually enabled and forwarded in the NAT router and a port range has to be defined in the FTP client configuration. With the new (UPnP) feature everything is automatically handled for the user. Burstnet Informatica Benefit UPnP can solve NAT (Network Address Translation) connection problems with active (PORT) mode. UPnP Advantages and FTP Detect External IP Address (Send correct IP address in PORT command)Dynamic Port Mappings (Add/Remove port mappings on the fly) Security Concerns The ports are only opened as long as they are needed. The UPnP mappings are automatically removed when the transfer is finished or aborted 20 CONFIGURAZIONE DI UN ROUTER Per la configurazione del router utilizzeremo uno dei tanti simulatori presenti nel web: EX. http://www.tp-link.com/support/simulator.asp Burstnet Informatica 21