Privacy & Cookie
Questo sito utilizza i cookie. Continuando, accetti il loro utilizzo. Per saperne di più, incluso come controllare i cookie.
Venti anni fa internet a banda larga ha iniziato a decollare e la gente voleva la possibilità di collegare più di un computer alla loro nuova connessione, così i router di rete domestici di Linksys e altri fornitori sono diventati popolari. Questi erano i giorni in cui le compagnie DSL e via cavo ti costringevano a clonare l’indirizzo MAC del tuo computer per ingannare la compagnia a pensare che tu avessi solo UN dispositivo collegato al loro sistema. Questi primi router non avevano molto in termini di sicurezza incorporata, ma fornivano la traduzione degli indirizzi di rete (NAT) e fondamentalmente facevano il lavoro.
Poi il “wifi” è diventato una cosa e i router wireless si sono aggiunti al mix. Penso che a un certo punto tutti abbiano dovuto possedere un Linksys WRT-54G (che è stato il più lungo router wireless prodotto ininterrottamente, da Linksys come azienda indipendente, a dopo che LinkSys è stata acquisita da Cisco, a quando Linksys ha smesso di essere parte di Cisco).
Quindi non c’è nessuna ragione, a parte “l’inferno di farlo”, per cui qualcuno debba costruire il proprio router e dispositivo firewall. Tuttavia c’è molta soddisfazione nel fare le cose per “l’inferno di farlo”. Naturalmente gli elenchi pubblicati di exploit noti per il software del fornitore utilizzati da varie minacce avanzate persistenti (APT) e altri attori informatici malintenzionati rendono un passo prudente l’assunzione di un maggiore controllo del proprio hardware/software/rete.
Per un router/firewall standard è necessario un computer con due schede di interfaccia di rete (NIC). Una può essere cablata ethernet, una può essere wireless se pensi di avere solo una rete wireless, anche se la mia preferenza è per almeno due NIC ethernet. Il mio router/firewall personale è uno di quei computer industriali compatti fatti in Cina con quattro NIC gigabit di marca Intel, che ho preso a poco prezzo due anni fa. Ma letteralmente qualsiasi PC con due NIC va bene a questo punto perché il software per far funzionare un router/firewall è così leggero.
pfsense, opnsense, clearOS, VyOS, OpenWRT, zeroshell, sono solo alcune delle distribuzioni che possono funzionare per trasformare un vecchio computer in un router/firewall. Se avete un vecchio router che non è più supportato dal produttore per gli aggiornamenti software, guarderei a OpenWRT come prima scelta per flashare il firmware per ottenere aggiornamenti di sicurezza supportati dalla comunità. Ironicamente un sacco di router commerciali nella fascia di prezzo più bassa stanno già eseguendo OpenWRT o una leggera variazione su di esso.
Così…. cosa ti consiglio alla fine del 2019? Beh se vuoi usare un vero PC con processore x86 (32 o 64 bit), ti consiglio opnsense, e se vuoi usare qualsiasi altra cosa allora OpenWRT se puoi. L’eccezione a questo è se stai usando l’attrezzatura Ubiquiti, che è costruita per eseguire la loro versione del software basata su VyOS (anche se VyOS è solo a riga di comando, nessuna comoda interfaccia web) quindi familiarizzare con VyOS è probabilmente meglio per quella situazione.
Cose che DOVRESTI fare se stai costruendo il tuo dispositivo.
Imposta la tua rete privata virtuale (VPN) che puoi usare per tornare alla tua rete di casa mentre sei in viaggio. Questo ti permetterà di utilizzare il WiFi pubblico in modo molto più sicuro, poiché il tuo traffico sarà criptato dal tuo dispositivo mobile fino al tuo router/firewall. Dal momento che il governo e l’industria sanno già che stai pagando per il servizio internet di casa, ti vedono navigare da casa, e i curiosi non possono rubare i tuoi conti, i numeri delle carte di credito o di debito, o altri dati sensibili. Lo svantaggio è una prestazione leggermente inferiore, ma la sicurezza ha SEMPRE un impatto sulle prestazioni.
Quale software VPN dovresti usare? Attualmente sto usando OpenVPN in quanto viene fornito in bundle con pfsense che sto già usando. OpenVPN ha anche applicazioni client per smartphone (che puoi scaricare dall’apposito app store) e ha un sacco di supporto dell’industria/comunità. Il lato negativo di OpenVPN è che non è intrinsecamente facile da configurare (ho dovuto modificare manualmente il file di configurazione del client per far funzionare la connessione del mio portatile), e le applicazioni di connessione non sono sempre le più stabili. C’è molto fermento intorno a Wireguard come soluzione, e Wireguard è stato incorporato nel kernel di molte distro Linux. Il lato negativo di Wireguard è che è ancora un “lavoro in corso” in termini di sviluppo del software e stanno ancora lavorando verso una versione stabile 1.0 (il che significa che se si adotta ora si è essenzialmente un beta tester).
Quindi… perché si dovrebbe costruire il proprio router e impostare la propria VPN? È davvero solo “per il gusto di farlo” o non vuoi pagare un canone mensile per un servizio VPN commerciale. Non raccomando i servizi “VPN gratuiti” perché sospetto che siano tutti sforzi di raccolta di informazioni da parte di vari attori statali (principalmente la Cina). Per quanto riguarda i servizi VPN a pagamento che promettono di non guardare il tuo traffico, supponi che stiano mentendo (la paranoia nelle comunicazioni è una cosa BUONA). E per quanto riguarda i servizi VPN a pagamento, caveat emptor.
Altre informazioni sui pericoli dei servizi VPN gratuiti e a pagamento: https://www.computerweekly.com/news/252466203/Top-VPNs-secretly-owned-by-Chinese-firms
Se hai già la tua rete impostata come ti piace, e vuoi solo aggiungere ulteriore sicurezza con la tua VPN, la vecchia soluzione VPN Traffic Layer Security (TLS) utilizzando un Raspberry Pi a bassa potenza è una grande opzione: https://pimylifeup.com/raspberry-pi-vpn-server/ e puoi usare un client OpenVPN per le tue esigenze di tunneling quando sei in viaggio.
In sintesi, molti di questi progetti non sono “gratuiti” in termini di hardware, frustrazione o tempo. Alcuni di loro hanno una curva di apprendimento. Tuttavia sono tutte cose buone da fare per aumentare il vostro livello di sicurezza delle informazioni.