92 è la metà di 99

Misure e piani di emergenza

Un percorso verso la resilienza attraverso misure di protezione prevalentemente tecniche

Al fine di elevare una rete domestica ad un elevato livello di sicurezza, sono essenziali misure tecniche al di là delle configurazioni di base. Questi vanno dal Proteggere il router sul più completo Verifica dei componenti fino alla segmentazione intelligente della rete e alla pianificazione di un failover. (o almeno una volta un esperimento mentale, se e per quanto tempo sarai in grado di far fronte a un fallimento senza di esso)

Come accennato nel post precedente, dobbiamo considerare 100.% Dì addio alla sicurezza, non ci può essere una sicurezza assoluta veramente completamente realizzabile. Iniziamo quindi con il marchio "Level92" psicologicamente importante per ottenere il massimo con il minor sforzo possibile.

Autenticazione a due fattori (2FA) / Autenticazione a più fattori (MFA) per l'accesso alla rete (router):

  • Che cos'è: 2FA o AMF aggiunge un ulteriore livello di sicurezza che richiede due diverse forme di identificazione: qualcosa che l'utente conosce (password) e qualcosa che possiede (ad esempio uno smartphone con un'app di autenticazione).
     
  • Supporto FritzBox: I router FRITZ!Box più recenti supportano 2FA per l'accesso amministrativo sia in locale che in remoto tramite MyFRITZ!. Dispositivi più vecchi almeno per la modifica della configurazione sul dispositivo come variante opzionale al telefono o alla pressione dei tasti. L'autenticazione a due fattori viene in genere eseguita tramite Applicazioni di autenticazione, utilizzando il metodo della password una tantum (TOTP) basata sul tempo, ad esempio: Google Authenticator oppure Microsoft Authenticator. L'attivazione richiede una conferma una tantum direttamente sul dispositivo.  
  • Supporto dello Speedport: I router Speedport di solito non forniscono un 2FA diretto per l'interfaccia di amministrazione locale. Tuttavia, i servizi di telecomunicazione connessi ai router speedport, come MagentaCLOUD, supportano l'autenticazione a due fattori. Si tratta di una differenza importante che deve essere presa in considerazione nella strategia di sicurezza.
     
  • Perché è importante: 2FA / MFA protegge efficacemente da accessi non autorizzati, anche se la password è stata rubata o indovinata. È una delle misure più efficaci contro il phishing e gli attacchi di forza bruta.
     
  • Attuazione pratica: Installare un'app Authenticator compatibile su un dispositivo mobile ed eseguire la scansione del codice QR visualizzato dal router per collegarsi.  

A proposito, la pressione di un pulsante quando si modifica l'impostazione sul Fritz.Box è già una forma di AMF, è quasi necessario "dimostrare" che si è effettivamente sul posto. Ciò garantisce che nessuno dall'esterno possa modificare la configurazione.

Per tutti coloro che sono mai stati con mamma o papà tramite manutenzione remota sulla scatola e poi fare una conferma sul cambiamento, tra l'altro, anche una bella cosa. ??

Segmentazione della rete:
L'arte dell'isolamento fino al "Livello 92"

La segmentazione della rete è una misura di sicurezza avanzata che divide la rete domestica in segmenti più piccoli e isolati (sottoreti). Si tratta di un passo cruciale sulla Strada verso la sicurezza in quanto riduce significativamente il "raggio di esplosione" di un potenziale attacco. Anche se un dispositivo è compromesso in un segmento, l'attaccante non può accedere facilmente ad altri segmenti più sensibili.

Home Network vs. Rete degli ospiti: Lo sappiamo già tutti. La popolare rete guest è la forma più semplice di segmentazione e la più facile da implementare per gli utenti domestici. Consente ai visitatori e ai dispositivi IoT potenzialmente non sicuri (come smart TV, luci intelligenti) di accedere a Internet senza accedere alla principale rete privata con dati o dispositivi sensibili. Ricaricalo!

D'altra parte, è più difficile e potenzialmente non più praticabile per l'utente domestico implementare il Segmentazione della rete via VLAN

VLAN o sottoreti separate per IoT / Smart Devices / Home Automation:

vantaggi: L'isolamento dei dispositivi IoT in un segmento separato aumenta significativamente la sicurezza. Se un dispositivo IoT (spesso meno sicuro) viene compromesso, l'attaccante non sarà in grado di accedere direttamente a PC, laptop o sistemi NAS sulla rete principale. Ciò migliora la visibilità e il controllo del traffico.  

Sfide per i router domestici: Si tratta di un ostacolo importante sulla strada verso il "Livello 92". Molti router consumer, come i comuni modelli FRITZ!Box, non supportano VLAN reali direttamente sulle loro porte LAN interne o SSID WLAN per la segmentazione della rete interna. Mentre alcuni modelli di FRITZ!Box supportano gli ID VLAN per l'accesso WAN (connessione Internet), questo non è inteso per la suddivisione della rete domestica interna.

Questo porta ad un malinteso comune che questa funzione è facile da attivare su router standard. L'illusione della semplicità nella segmentazione della rete è una visione importante. La semplice raccomandazione di "VLAN" senza evidenziare tali limitazioni vanificherebbe gli utenti, in quanto l'hardware esistente spesso non consente l'attuazione.  

Configurazione di sottoreti

Possibilità anche con Sottoreti separate Vogliamo prendere in considerazione l'isolamento delle singole aree al fine di ridurre le possibili superfici di attacco. È più comune nell'ambiente di rete professionale e di solito non è un'opzione praticabile per l'utente domestico, soprattutto non perché i router domestici disponibili comuni non lo fanno. Subnetting Supporto nel vero senso della parola, ma sono progettati per un intervallo di indirizzi comune di solito un massimo di 253 dispositivi in un segmento comune.

Perché esattamente 253? Bella domanda! Ecco la risposta di TL:DR: Da un lato, il primo indirizzo utilizzabile x.x.x.1 dei 256 indirizzi possibili disponibili nella rete domestica /24 per il router scompare e, dall'altro, il primo indirizzo di rete x.x.x.0 e l'ultimo x.x.x.255 sono riservati al cosiddetto indirizzo broadcast. Ciò garantisce che il segmento di rete funzioni affatto. Catturare questi indirizzi con altri dispositivi, se il dispositivo consente l'input, porterà inevitabilmente a errori di rete.
Sarà così dettagliato /24 Sistema CIDR, ad es. qui descritto. La descrizione precedentemente comune era "subnet mask" (maschera di sottorete) e di solito era così nella rete domestica: 255.255.255.0 -> fondamentalmente /24 significa la stessa cosa.

Chi ha le ambizioni leggi in e, se del caso, pertinenti Suggerimenti per soluzioni Risultanza da attuare nella rete vari utili suggerimenti e trucchi.

Soluzioni per gli utenti domestici:

Utilizzo della rete ospitante come «rete IoT»: Questa è la soluzione più pratica per la maggior parte degli utenti domestici. Questo Rete di ospiti Può essere utilizzato come rete dedicata per tutti i dispositivi smart home e IoT per isolarli dalla rete principale.
Il mio suggerimento Level92: I dispositivi LAN di cui non ti fidi possono anche essere integrati nella rete ospite. Inoltre, c'è l'opzione pratica nel Fritz.Box Rete ospite anche sulla porta LAN 4 Pronti a fornire. Poiché la rete ospite LAN viene quindi isolata anche dal resto della rete, gli elementi degni di protezione sono schermati in modo affidabile.

Utilizzo di uno switch gestito e di punti di accesso abilitati VLAN: La segmentazione VLAN reale e robusta richiede spesso l'uso di hardware aggiuntivo. Uno switch gestito dietro il router può dividere il traffico in diverse VLAN. I punti di accesso abilitati per VLAN (che potrebbero sostituire i ripetitori mesh AVM) possono quindi assegnare SSID WLAN separati alle rispettive VLAN. Si tratta di un investimento nell'hardware e nello sforzo di configurazione, ma è il percorso verso la piena segmentazione del "livello 99".  

Utilizzo di router con funzionalità avanzate: Alcuni router domestici più avanzati o router per piccole imprese forniscono supporto nativo per più SSID e sottoreti separati che consentono la segmentazione logica. Ubiqiti o MikroTik vengono in mente spontaneamente. Con i grandi nomi si ottiene anche quello (Cisco & Co)

Condivisione delle porte e gestione UPnP

Disabilita UPnP: Come accennato in precedenza, UPnP dovrebbe essere disattivato per impostazione predefinita in quanto rappresenta un rischio significativo per la sicurezza. Dovrebbe essere attivato solo quando assolutamente necessario per applicazioni specifiche e idealmente solo temporaneamente.  

Condivisione manuale delle porte: Se le condivisioni di porte sono essenziali per determinate applicazioni (ad esempio server di gioco, accesso remoto alle telecamere), dovrebbero essere configurate manualmente. Solo le porte assolutamente necessarie dovrebbero essere aperte e limitate a specifici indirizzi IP interni. Le funzionalità firewall integrate del router dovrebbero essere utilizzate per limitare ulteriormente l'accesso.  

VPN – Wireguard o IPSec?

L'argomento VPN, cioè la tua rete privata virtuale, avrebbe sicuramente meritato un suo articolo completo. Solo una breve descrizione: Una VPN crittografa tutto il traffico e lo inserisce in modo sicuro nella rete domestica, eliminando la necessità di aprire porte dirette dall'esterno.
Inoltre, si potrebbe anche nominare varie altre opzioni possibili, ma questo porta oggi decisamente troppo lontano. Prima di tutto, ci limitiamo alla maneggevolezza di base e alla differenza tra le due possibilità. Ad esempio, ecco un ottimo video:

Preferisci l'uso della VPN: Per un accesso remoto sicuro ai servizi domestici (ad esempio NAS, telecamere di sicurezza), una connessione VPN tramite il router (se supportata, come con molti FRITZ!Box) o un server VPN separato è di gran lunga il metodo più sicuro.

Impostazioni DHCP per le estensioni future

Indirizzi IP fissi per dispositivi critici: Per dispositivi come sistemi NAS, hub domestici intelligenti o server privati che richiedono un indirizzo IP fisso, è consigliabile impostarli al di fuori dell'intervallo DHCP del router o impostare prenotazioni IP nel server DHCP. Questo rende molto più facile gestire, risolvere i problemi e configurare le condivisioni di porte o le regole del firewall perché l'indirizzo IP di questi dispositivi non cambia.

Piani di emergenza e opzioni di accesso alternative: Il tuo PlanB

Una rete domestica realmente resiliente al "livello 92" è caratterizzata non solo da solide misure di sicurezza, ma anche dalla capacità di rimanere operativa in caso di guasto primario della connessione a Internet. La dipendenza da una singola connessione Internet comporta rischi significativi, poiché un guasto può paralizzare le funzioni di home office, comunicazione e smart home. È pertanto essenziale un piano di emergenza alternativo per l'accesso.

LTE/5G come fallback

vantaggi: Le reti mobili sono diffuse e offrono buone velocità in molte regioni. Il backup LTE/5G può essere configurato in modo relativamente rapido e fornisce un'alternativa affidabile, specialmente nelle aree in cui la rete fissa tradizionale è lenta o inaffidabile. Può essere utilizzato come failover automatico o come backup manuale.  

svantaggi: Spesso associato a limitazioni del volume dei dati, che possono portare a costi elevati con un uso intensivo. Le tariffe illimitate sono più costose. La copertura di rete e la velocità effettiva possono variare in base alla posizione.  

implementazione: I router LTE/5G speciali con funzione di failover integrata possono passare automaticamente alla rete mobile in caso di guasto della connessione DSL/cavo primaria. In alternativa, uno smartphone o un tablet può essere utilizzato come hotspot mobile.  

Internet via satellite:

vantaggi: Internet via satellite fornisce inoltre connettività nelle zone rurali in cui non sono disponibili linee fisse. I sistemi più recenti come Starlink offrono latenze significativamente più basse e velocità più elevate rispetto ai sistemi satellitari più vecchi.  

svantaggi: Elevati costi di acquisizione per l'hardware (piastra satellitare, router). Anche i costi mensili possono essere elevati. La latenza può ancora essere problematica per le applicazioni in tempo reale come i giochi online o le videoconferenze. La connessione è anche soggetta a condizioni meteorologiche avverse come temporali o nevicate.

Wireless Last Mile (ultimo miglio senza fili):

vantaggi: Le connessioni radio-direzionali possono fornire larghezze di banda elevate su distanze più lunghe e di solito hanno basse latenze. Sono una buona opzione se non ci sono connessioni in fibra o via cavo disponibili e c'è una connessione visiva a un punto di trasmissione.

svantaggi: Richiede una linea di vista diretta tra trasmettitore e ricevitore. L'installazione è spesso complessa e richiede hardware speciale. Le soluzioni di trasmissione sono meno disponibili per gli utenti domestici e hanno maggiori probabilità di essere offerte da clienti commerciali o in specifiche iniziative regionali.

Soluzioni automatiche vs backup out-of-the-box

Router di failover automatico: Questi router sono configurati per rilevare un guasto della connessione Internet primaria e quindi passare automaticamente a una connessione alternativa predefinita (ad esempio LTE/5G). Ciò riduce al minimo i tempi di inattività della rete e garantisce la continuità aziendale nell'home office o nelle funzioni essenziali della smart home. Nominati a titolo di esempio: Router dello Speedport con ibrido aggiuntivo e/o LTE nel nome.

Livello 92% Soluzione artigianale:
Notifica di guasto, passaggio automatico al fallback
Charly ci ha già dato questo con un bell'esempio. nell'ultimo post Questa variante può già essere sufficiente se l'accesso manuale non è possibile o desiderato. Se e in che misura o con Quale hardware Quindi il modo in cui reagisci può almeno essere perfettamente adattato alle tue esigenze. Chiaro caso di pollice in su ??

Notifica di guasto, interruttore manuale
Forse un'altra variante sarà sufficiente per te. Notifica di guasto con interruttore manuale. Questo può quindi assomigliare a questo:

Backup pratici: Si tratta di dispositivi preconfigurati come stick LTE, hotspot mobili o persino uno smartphone (di backup). Questi richiedono la commutazione manuale o l'attivazione da parte dell'utente in caso di guasto. Sebbene meno semplici delle soluzioni automatiche, forniscono un modo economico ed efficace per ripristinare la connettività di base.

Utilizzo di un modem di base (di backup) da parte del provider

Un aspetto spesso trascurato del piano di emergenza è la fornitura di un semplice modem di base da parte dell'ISP. Se il proprio router si guasta o ha un malfunzionamento complesso, tale modem può stabilire una connessione diretta a Internet. Ciò consente almeno il ripristino della connettività di base e la diagnosi del problema con il router principale. Tuttavia, spesso si dimentica che un modem di base ha uno scopo completamente diverso dal provider di servizi Internet, vale a dire la possibilità di diagnosi differenziale.

Un dispositivo ufficialmente approvato dal fornitore può essere richiesto in caso di diagnosi di guasto, in quanto un fornitore ama incolpare il cliente per un malfunzionamento o un guasto senza un modem "del fornitore". Spingere le tattiche all'hardware installato dal cliente può sembrare comprensibile, ma porta rapidamente alla frustrazione, solo perché non devono essere disponibili opzioni diagnostiche estese tramite un router del cliente che siano lontane dalla causa di un guasto. Ancora una volta, penso a me stesso, meglio che tu abbia e non ne abbia bisogno come diverso in giro. È più rilassato. ??

Unico punto di fallimento

Il tipico SPOF nella rete domestica è un singolo componente il cui guasto può paralizzare l'intera rete o parti di essa. In parole povere, è una parte così importante che se si rompe, l'intero sistema smette di funzionare. Nel senso usuale sarebbe che il router, il modem o un interruttore centrale.
A seconda della configurazione e dei punti di accesso richiesti, tuttavia, un unico punto di accesso che garantisce che il laptop remoto, il tablet in giardino o il server multimediale nel seminterrato abbiano ancora la connessione alla rete può essere il singolo punto di guasto. Anche un singolo disco rigido senza backup dei dati rientrerebbe in questa categoria.

Come evitare questo SPOF?

  • Ridondanza: Utilizzare componenti ridondanti come due router o due modem per compensare un guasto.
  • Collegamenti ridondanti: Utilizzare connessioni Internet multiple (ad esempio DSL e LTE) o cablaggi ridondanti.
  • failover automatico: Configura i tuoi dispositivi in modo che passino automaticamente a una connessione alternativa o a un servizio sostitutivo quando si verifica un problema.
  • Backup regolari: Esegui regolarmente il backup dei dati importanti per evitare la perdita di dati in caso di guasto.
  • Supporto professionale: Consultare un professionista per configurazioni di rete complesse o problemi.
  • Backup delle configurazioni: Effettuare backup regolari del router e delle configurazioni di rete per consentire il ripristino rapido in caso di guasto. 

Ancora una volta, naturalmente, per motivi di equità, va detto che non tutti devono tenere o prestare attenzione a tutti gli elementi di cui sopra. Soprattutto nella rete domestica, ovviamente, le priorità sono diverse.
Nell'IT aziendale, invece, si parlerebbe di propensione al rischio nella valutazione e, se necessario, si soppeseranno i costi di acquisizione e manutenzione di tali esuberi rispetto ai costi di un fallimento. Poiché ci sono spesso somme molto diverse nel gioco, un possibile budget per una doppia ridondanza multipla e anche interi data center di failover è ovviamente assolutamente giustificato se necessario.

TL:DR per oggi?

Alcune persone vogliono un "Oh merda - beh, più tempo per il giardino della birra", altri usano un pulsante di interruttore, altri vorrebbero un modem di backup, altri vogliono un fallback automatico e chi dipende dall'elevata disponibilità può anche avere una seconda linea attiva 24 ore su 24, 7 giorni su 7. –

E ogni possibilità va perfettamente bene. Quello che ti basta è lo SweetSpot.

Stephan
|
| | | |
verso l'alto | homepage | per cercare