Vademecum per proteggere pc privacy ed evitare hacking parte terza
- Creatore Discussione groviglio
- Data di inizio
Pilato
Spazio pubblicitario a disposizione
- Registrato
- 18/5/07
- Messaggi
- 173
- Punti reazioni
- 57
ad inizio marzo'24 hanno sospeso il dominio ... non è più raggiungibile "via internet"
.... si, ma AVM ha dormito!!!! ma al momento hanno salvato ... capra e cavoli ...
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
dove li usi i DNS di cloudflare (impostati staticamente)? nella scheda di rete del PC?
se sulla scheda di rete hai lasciato in automatico (assieme a DHCP), è normalissimo che il fritz faccia hijacking e intercetti l'url fritz.box e lo associ all'indirizzo IP del router
peraltro, per questioni di sicurezza (visto il thread) eviterei di accedere all'interfaccia amministrativa con un url, ma sempre e solo con l'indirizzo IP statico del router. il router deve essere ovviamente ben configurato in tutti i suoi parametri (per citare pochi esempi: deve avere PW robusta, utente limitato e cambiato, tutte le impostazioni di rete statiche e non standard, non essere raggiungibile ed operabile lato WAN (ma solo lato LAN), con espliciti blocchi et cetera (altri 20 -30 ulteriori controlli di sicurezza))
consiglio anche di configurare il PC a livello di OS (o almeno di browser) con il DoH (sempre sempre sempre senza fallback...i fallback sono la negazione della sicurezza)
Tom&Slim
Nuovo Utente
- Registrato
- 17/3/10
- Messaggi
- 2.961
- Punti reazioni
- 141
No, nel router direttamente, in modo che tutti i dispositivi della casa che si collegano in wifi, passino attraverso questi DNS.
Grazie anche per le altre indicazioni, all'interfaccia acceso sempre tramite l'app del telefono, ma devo sistemare alcune delle altre cose citate.
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
1) niente app (bloccherei gli accessi da wifi, farei in modo che i dispositivi di casa accedessero solo via rete guest superlimitata)
2) giusto mettere DNS a mano su fritz , sia ipv4 sia ipv6(cancellando ovviamente quelli preesistenti del proprio provider)...ma per evitare hijacking da parte di fritz, metti a mano anche i DNS su scheda di rete , pure in tutti i dispositivi che usano wifi
il fritz ha un sacco di bellissime impostazioni e una regolarità negli aggiornamenti firmware/OS inarrivabile: sfruttiamoli bene
Lupak
Nuovo Utente
- Registrato
- 25/11/06
- Messaggi
- 19.659
- Punti reazioni
- 2.520
Sottoscrivo, ma per era talmente una cavolata anche da prima che l'ho disattivata da sempre.
Se non mi sbaglio sul Fritzbox è necessaio attivare accesso al modem da internet se si vuole usare la VPN integrata.
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
nope
o meglio , sì se usi ipsec(pessimo), no ,se usi wireguard(ottimo)
con wireguard le caselline " consenti accesso da internet" son tutte disattivate. wireguard ascolta nativamente su una porta non standard e UDP (percui non è scansionabile dall'esterno perchè non risponde e appare "stealth")
sull'interfaccia amministrativa , cos'è sta smania di entrare per configurare il router da web?! anche l'utente deve essere configurato senza poter accedere da internet: mettetevelo bene in testa, il router lo devi poter configurare solo da LAN e non da internet. punto
Pilato
Spazio pubblicitario a disposizione
- Registrato
- 18/5/07
- Messaggi
- 173
- Punti reazioni
- 57
d'accordo su tutto ... , ma ...
solo una precisazione (sono un po' pignolino, scusate
) ... "tutti" entrano via Web (http:// https://) datosi che la pagina configurazione del router la fai con l'interfaccia web del router (il quale gestisce un'interfaccia interno). Infatti dici giustamente dopo, LAN e non Internet.Il problema viene fuori se non riesci (non tu, il pc/la rete intendo) a gestire la risoluzione (mappare) gli hostnames con gli indirizzi IP ... e qui ti aiuta il buon vecchio hosts file !!! se si metteva
192.168.1.1 fritz.box #router frizbox
nell'hosts file non sarebbe successo niente di grave comunque.
altra cosa sarebbe se ti connettessi al router con programma/protocolli command line. Ma abbiamo lottato anni perchè nei router (switcher, modem etc etc ) ci fosse un interfaccia web (decente!) ....
(senza polemica alcuna!)
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
pilà , il mio presupposto(in tutti questi thread) è che nel router ci entri digitando direttamente IP(la prima volta, staccato da web con IP di default, dopo, avendo cambiato pw e indirizzo di rete interna adattandolo alla propria, e presupponendo che non sia la classica 192.168.1.x). punto.non devi passare ne da DNS ne da file hosts. chiamata diretta su IP della stessa LAN...così deve essered'accordo su tutto ... , ma ...
solo una precisazione (sono un po' pignolino, scusate
Il problema viene fuori se non riesci (non tu, il pc/la rete intendo) a gestire la risoluzione (mappare) gli hostnames con gli indirizzi IP ... e qui ti aiuta il buon vecchio hosts file !!! se si metteva
192.168.1.1 fritz.box #router frizbox
nell'hosts file non sarebbe successo niente di grave comunque.
altra cosa sarebbe se ti connettessi al router con programma/protocolli command line. Ma abbiamo lottato anni perchè nei router (switcher, modem etc etc ) ci fosse un interfaccia web (decente!) ....
ovvio che non ci sia polemica, si discute
Pilato
Spazio pubblicitario a disposizione
- Registrato
- 18/5/07
- Messaggi
- 173
- Punti reazioni
- 57
perfetto! Anch'io intendo "Discussione / Discutere" nel senso di "Analizzare con un dialogo in cui ogni interlocutore possa portare un proprio contributo alla impostazione o alla soluzione del problema" (fonte Oxford Languages and Google - Italian | Oxford Languages)pilà , il mio presupposto(in tutti questi thread) è che nel router ci entri digitando direttamente IP(la prima volta, staccato da web con IP di default, dopo, avendo cambiato pw e indirizzo di rete interna adattandolo alla propria, e presupponendo che non sia la classica 192.168.1.x). punto.non devi passare ne da DNS ne da file hosts. chiamata diretta su IP della stessa LAN...così deve essere
ovvio che non ci sia polemica, si discute
insisti nel riferirti al Web come se fosse Internet (quando dici : [(la prima volta, staccato da web con IP di default ]
- La rete internet è l'infrastruttura tecnologica dove viaggiano i dati. Può essere immaginata come una specie di ferrovia digitale, con i propri binari ( canali ), stazioni ( server ) e regole ( protocolli ).
- Il web è uno dei servizi internet che permette il trasferimento e la visualizzazione dei dati, sotto forma di ipertesto. Tutto ciò che normalmente vediamo sul nostro browser. Oltre al web esistono altri servizi internet come la posta elettronica, i newsgroups, i trasferimenti FTP, ecc.
non puoi "staccarti da web" se usi http:// https:// .... casomai sei "staccato da Internet" ...
Io poi faccio come dici tu .... rete locale tutto mappato etc etc ... comunque, se usi windows, dal file hosts ci passi per forza ...
prova a metterci
192.168.1.1 forum.finanzaonline.com
the power of hosts file[N.B. il sottoscritto dissuade chiunque da eseguire azioni descritte su questo post, il sottoscritto non si assume responsabilità per malfunzionamenti e non presterà alcun aiuto nella riparazioni di danni di ogni genere]
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
sì, si, per web, intendevo internet , designando equivalenza (sbagliata). è hai ragione tu...io ho effettuato semplificazione forzata (per risparmiare la digitazione di qualche lettera...ho usato una metonimia, diciamo così)
sugli IP diretti invece, questi non passano da file hosts . siamo sullo stesso dominio di collisione(il PC e il router sono collegati direttamente e si vedono senza "mappature" esplicite...nel tuo esempio, appunto, devi mappare esplicitamente)
sugli IP diretti invece, questi non passano da file hosts . siamo sullo stesso dominio di collisione(il PC e il router sono collegati direttamente e si vedono senza "mappature" esplicite...nel tuo esempio, appunto, devi mappare esplicitamente)
Pilato
Spazio pubblicitario a disposizione
- Registrato
- 18/5/07
- Messaggi
- 173
- Punti reazioni
- 57
beh anch'io sbaglio.
Se sei su browser ed inserisci un FQDN è il browser che gestisce il DNS (Proxy etc ...) > che poi fa riferimento all'impostazione DNS del Network Profile (ambiente Windows) > che poi guarda l'impostazione DNS del router e quello ti collega ad Internet
Quindi, si! hai ragione. Con il browser non è detto che l'impostazione dell'hosts sia rilevante.
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
...indipendentemente da tutto, utilizzando gli indirizzi IP, non passi proprio per i sistemi DNS, compreso il file hosts. il file hosts, agli albori di internet aveva appunto la funzione del server DNS, era un vero e proprio DNS statico(perdona l'ossimoro, sarebbe meglio dire che fosse un "SNS") in un'epoca in cui c'è erano pochi computer(universitari) collegati in rete geografica...ai tempi si mappava in quel file, appunto, indirizzo IP e URL(o il server di dominio, vabbé ci siam capiti, semplifico) in modo da poter usare l'URL senza problemi...ad un certo punto dare a tutti il file hosts aggiornato è diventato prima un incubo, poi, impossibile, per l'aumentare del numero di computer collegati...hanno quindi ideato il DNS(non statico come il file hosts).
il file hosts ha la priorità su tutto: è ancora adesso , il primo posto in cui il sistema va a vedere la traduzione dei IP in URL(poi viene il DNS)...cosa comoda tutt'ora per fare test e simulazioni (potenzialmente comoda anche per virus, malware e malintenzionati...insomma , il file hosts è anche un punto potenzialmente debole per la sicurezza)
ma se usi IP non hai bisogno ne di DNS ne di hosts
in un mondo di persone che usano solo indirizzi IP il DNS non esisterebbe, perché non servirebbe
ovviamente la cosa è altamente non pratica...uno si può anche imparare a memoria l'IP di un sito(magari il preferito o quello che per vari motivi è il più importante per sé) o 3-4. ma poi diventa un incubo
il file hosts ha la priorità su tutto: è ancora adesso , il primo posto in cui il sistema va a vedere la traduzione dei IP in URL(poi viene il DNS)...cosa comoda tutt'ora per fare test e simulazioni (potenzialmente comoda anche per virus, malware e malintenzionati...insomma , il file hosts è anche un punto potenzialmente debole per la sicurezza)
ma se usi IP non hai bisogno ne di DNS ne di hosts
in un mondo di persone che usano solo indirizzi IP il DNS non esisterebbe, perché non servirebbe
ovviamente la cosa è altamente non pratica...uno si può anche imparare a memoria l'IP di un sito(magari il preferito o quello che per vari motivi è il più importante per sé) o 3-4. ma poi diventa un incubo
Pilato
Spazio pubblicitario a disposizione
- Registrato
- 18/5/07
- Messaggi
- 173
- Punti reazioni
- 57
Beh .... semplice ....
uno è in layer 3, gli altri sono in layer 5-7
solo che in layer 3 lavori con pacchetti ed è rete pura ... e stai tranquillo che nessun umano è in grado di lavorare in layer 3 ... per questo hai bisogno dei layer di presentatione e applicazione .... mi spiego ... quando fai <<ping IP>> , lo fai su una console che comunque traduce il tuo << ping IP>> prima attraverso protocolli e poi in pacchetti .... poi manda in layer 1
poi attenzione alla tua affermazione "in un mondo di persone che usano solo indirizzi IP il DNS non esisterebbe, perché non servirebbe"
.... un indirizzo IP può essere attribuito ad un solo medium (server, router ... quello che vuoi tu) ma quel medium può ospitare n servizi di rete quindi se ti colleghi ad un IP non potrai mai scegliere il servizio che desideri. Esempio: l'hosting che hai presso il tuo provider, il tuo dominio è ospitato su un server (quindi un IP), ma quell'IP gestisce migliaia di altri dominii, e qui ti aiutano i protocolli et applicazioni.
poi ripeto ....
(senza polemica alcuna!)
P.S. mi scuso se non sono stato precisissimo
uno è in layer 3, gli altri sono in layer 5-7
solo che in layer 3 lavori con pacchetti ed è rete pura ... e stai tranquillo che nessun umano è in grado di lavorare in layer 3 ... per questo hai bisogno dei layer di presentatione e applicazione .... mi spiego ... quando fai <<ping IP>> , lo fai su una console che comunque traduce il tuo << ping IP>> prima attraverso protocolli e poi in pacchetti .... poi manda in layer 1
poi attenzione alla tua affermazione "in un mondo di persone che usano solo indirizzi IP il DNS non esisterebbe, perché non servirebbe"
.... un indirizzo IP può essere attribuito ad un solo medium (server, router ... quello che vuoi tu) ma quel medium può ospitare n servizi di rete quindi se ti colleghi ad un IP non potrai mai scegliere il servizio che desideri. Esempio: l'hosting che hai presso il tuo provider, il tuo dominio è ospitato su un server (quindi un IP), ma quell'IP gestisce migliaia di altri dominii, e qui ti aiutano i protocolli et applicazioni.
poi ripeto ....
(senza polemica alcuna!)P.S. mi scuso se non sono stato precisissimo
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
certo, certo, sei chiarissimo
comunque , per i servizi veri e propri di un singolo server, si va di porta (ce ne sono 65536, per "altrettanti " servizi, quindi di socket che è la coppia IP+porta)
ovvio che nel mondo di oggi(che non è quello di ieri) un singolo IP su internet può rappresentare una CDN(nata per sopperire alla mancanza cronica ed entropica di indirizzi IPv4) che dentro di sé c'ha anche migliaia di server (siti) e lì , hai bisogno di digitare davvero per forza un URL e quindi la mia affermazione era , ovviamente, un'ipersemplificazione
diciamo che nel futuro remoto, con l'IPv6(volendolo) si potrà tornare al passato("la storia è ciclica, ma non si ripresenta mai uguale") con un singolo IP che rappresenterà un singolo server, dispositivo, IoT o quello che si vuole
comunque , per i servizi veri e propri di un singolo server, si va di porta (ce ne sono 65536, per "altrettanti " servizi, quindi di socket che è la coppia IP+porta)
ovvio che nel mondo di oggi(che non è quello di ieri) un singolo IP su internet può rappresentare una CDN(nata per sopperire alla mancanza cronica ed entropica di indirizzi IPv4) che dentro di sé c'ha anche migliaia di server (siti) e lì , hai bisogno di digitare davvero per forza un URL e quindi la mia affermazione era , ovviamente, un'ipersemplificazione
diciamo che nel futuro remoto, con l'IPv6(volendolo) si potrà tornare al passato("la storia è ciclica, ma non si ripresenta mai uguale") con un singolo IP che rappresenterà un singolo server, dispositivo, IoT o quello che si vuole
@ti
Nuovo Utente
- Registrato
- 20/2/22
- Messaggi
- 3.229
- Punti reazioni
- 728
Checklist
⚖️Due pesi due censure
- Registrato
- 20/10/17
- Messaggi
- 7.176
- Punti reazioni
- 1.001
In che senso bloccheresti tutti gli accessi wifi, cioè per il solo accesso alle impostazioni del router intendi?
groviglio
w la F(i(si))CA
- Registrato
- 28/9/07
- Messaggi
- 46.336
- Punti reazioni
- 1.209
all'interfaccia amministrativa del router si deve accedere solo via cavo.punto...quanto all'uso del wifi, io consiglio di usare password spropositate per rete normale(da non usare) e accedere sempre su rete guest (con password robusta ma ricordabile)...da rete guest non c'è modo di entrare nel router...comunque studiatevi bene le impostazioni del vostro router per settare le restrizioni maggiori possibili
il settaggio sicuro di un router , anche domestico è cosa lunga , ragionata e scomoda...soggetta a revisioni pure(non fosse altro che per gli aggiornamenti