| Precedente :: Successivo |
| Autore |
Messaggio |
amldc
Dio maturo
Registrato: 02/05/06 17:21
Messaggi: 1418
|
 Inviato: 19 Giu 2008 01:00 Oggetto: DNS: evitare quelli maligni |
 |
|
Riprendo la discussione iniziata in:
http://forum.zeusnews.com/viewtopic.php?p=311904#311904
Per aumentare il livello di sicurezza nella nostra LAN possiamo adottare alcuni semplici accorgimenti al fine di evitare che eventuali software maligni possano indurre i nostri PC ad utilizzare dei DNS 'fasulli'.
Evitiamo la (pur comodissima) funzionalita' che permette al nostro router funzionare da DNS ed impostamo manualmente (*) gli indirizzi DNS sui PC; utilizzeremo quelli forniti dal nostro provider o quelli del servizio OpenDNS (ottimo sulla carta ma con qualche carenza a causa dei provider italiani).
Impostiamo il firewall in modo che filtri il traffico verso la porta 53 e lasci passare solo le richieste verso i DNS che ci interessano. Il firewall puo' essere uno di quelli classici software (che personalmente detesto) od uno hardware (**) messo tra la LAN ed il router.
Nel caso che qualche software riuscisse a modificare le impostazioni dei DNS, le richieste non riuscirebbero piu' a passare, con il conseguente blocco della navigazione ed obbligandovi ad indagare sulle cause.
(*)
Nel caso utilizziate il router come server DHCP ed esso lo permetta, potete impostare nella sezione apposita gli indirizzi DNS da assegnare ai PC.
(**)
Io utilizzo un PC PIII 1Ghz di recupero con Linux e Shorewall, soluzione abbastanza economica ed estremamente elastica (anche se piu' ingombrante di un piccolo firewall hardware che ormai potete comprare con meno di 80?) e che fa anche da DHCP server. |
|
| Top |
|
 |
TUX_73
Mortale devoto
Registrato: 11/12/06 21:12
Messaggi: 15
|
| Inviato: 19 Giu 2008 10:07 Oggetto: |
|
|
| E se uno ha linux? |
|
| Top |
|
|
amldc
Dio maturo
Registrato: 02/05/06 17:21
Messaggi: 1418
|
| Inviato: 19 Giu 2008 12:24 Oggetto: |
|
|
| Citazione: | | E se uno ha linux? |
Il concetto e' lo stesso indipendentemente dal sistema operativo utilizzato dai PC nella LAN. Eventuali discussioni sul fatto che un sistema sia piu' o meno vulnerabile da virus e trojan in grado di attaccare il router, in questo contesto sono fuori luogo. Lo stesso per la vulnerabilita' del sistema stesso a virus/trojan che possano modificare le impostazioni di rete.
Schematizzando il conceto, avremo:
LAN -> firewall -> router -> DNS
Il firewall permettera' di raggiungere SOLO i DNS legittimi |
|
| Top |
|
|
TUX_73
Mortale devoto
Registrato: 11/12/06 21:12
Messaggi: 15
|
| Inviato: 19 Giu 2008 12:30 Oggetto: |
|
|
| Quindi cosa si può fare? |
|
| Top |
|
|
amldc
Dio maturo
Registrato: 02/05/06 17:21
Messaggi: 1418
|
| Inviato: 19 Giu 2008 16:39 Oggetto: |
 |
|
Se hai Linux fai le stesse cose che faresti con Windows, MacOS, AmigaOS, Unix, VMS e qualsiasi altro sistema operativo : imposti il firewall in modo da filtrare le richieste verso l'esterno, porta 53 abilitando solo quelle verso i DNS che reputi affidabili.
Se utilizzi un firewall dedicato (*), imposti i filtri sul firewall dedicato; se utilizzi un firewall software (**), imposti i filtri sul PC (o su ogni PC se sono piu' di uno). Se non sai quali software utilizzare, con una ricerca tipo 'windows firewall' o 'linux firewall' ne potrai trovare diversi.
(*)
Per firewall dedicato intendo una apparecchiatura dedicata al compito, normalmente con almeno due schede di rete, tipo quelle vendute da Cisco, Zyxel e tanti altri, o un PC con due schede di rete e un software adeguato.
(**)
Per firewall software intendo uno di quelli definiti anche come 'Firewall personale', che si installano direttamente sul PC che utilizzi. Il software puo' essere lo stesso (ad esempio se utilizzi un PC con Linux potresti utilizzare Shorewall, che io utilizzo invece sul firewall dedicato). |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
