Regola Firewall OpenDNS-DNS

[Carmelo Mano]

Salve,

Vi scrivo in quanto vorrei una dritta su un'impostazione di sicurezza che vorrei attuare sulla mia rete. Ho attivato un account sul sito OpenDNS e messo i loro DNS all'interno della sezione "Server DNS" del mio router Tp-link w8968, cosìcchè potessi impostare dei filtri riguardo siti pornografici e non. Ovviamente, dopo aver accuratamente provato che tutto funzionasse e che quindi gli hosts all'interno della LAN non potessero accedere a determinati siti, ho volutamente cambiato i miei DNS dall'impostazione della scheda di rete di un mio pc; è stato provato questo, per avere conferma che cambiando i DNS su quel pc "cavia", potessi accedere a tutto ciò che era stato bloccato dal "settings" di OpenDNS. Sfortunatamente, però, tutto questo non deve accadere proprio perchè all'interno della rete accedono più persone, e quindi qualche smanettone potrebbe attuare quanto da me provato e descritto in precendenza, rendendo il lavoro da me fatto, inutile. Pertanto, detto ciò, volevo capire come potessi evitare qualsiasi tipo di bypass, attuato da qualche furbetto, applicando DNS diversi da quelli scelti da me. Ho provato a verificare qualcosa sul mio router, ma nella sezione "sicurezza" a parte esserci Filter MAC e Filter Ip, non c'è proprio nulla. Proprio sul Filter ip, volevo sapere se potessi contarci e quindi usare questo per ovviare al problema.
Scusate se mi sono dilungato parecchio ma volevo essere quanto più chiaro possibile. Se così non fosse, però, sono a disposto a rispiegare meglio la mia richiesta.


Grazie anticipatamente
Saluti

[DoctorStrange]

Da quello che scrivi sembra che tutti gli host possano accedere alla pagina di configurazione del router, e quindi apare normale che chiunque possa in qualunque momento escludere i tuoi filtri.

Per realizzare regole di questo tipo, ci deve essere un solo computer connesso al router, su tale computer poi installi un proxy, e tutti gli altri host si connetteranno solo tramite questo proxy, altrimenti qualunque cosa tu faccia sarà inutile, se il tuo computer non è diverso da un qualunque altro.

Il router ha un qualche genere di servizio proxy, o firewall che puoi configurare?

[Carmelo Mano]

Da quello che scrivi sembra che tutti gli host possano accedere alla pagina di configurazione del router, e quindi apare normale che chiunque possa in qualunque momento escludere i tuoi filtri.

Per realizzare regole di questo tipo, ci deve essere un solo computer connesso al router, su tale computer poi installi un proxy, e tutti gli altri host si connetteranno solo tramite questo proxy, altrimenti qualunque cosa tu faccia sarà inutile, se il tuo computer non è diverso da un qualunque altro.

Il router ha un qualche genere di servizio proxy, o firewall che puoi configurare?

Ciao harpefalcata, grazie intanto per la risposta. Nessuno, all'infuori di me, può accedere alla pagina di configurazone del router ma non perchè ne abbia impedito l'accesso tramite filtri ip, ma per la password cambiata e appositamente scelta; a tal proposito, ho fatto una prova nell'impostare manualmente un filtro ip in cui dicevo che l'ip 192.168.11 non poteva raggiungere il router, ma provando a collegarmi da quella postazione, risultava comunque accessibile la pagina. Ed infatti, volevo capire come poter fare anche questo. Il nocciolo del discorso, però è un altro. Impedire a chiunque imposti manualmente i server DNS sulla scheda di rete di un PC presente nella LAN, e che siano quindi diversi da quelli scelti da me, la visualizzazione delle pagine da me bloccate o in generale impedirgli di navigare. Suppongo si possa fare, anche perchè nelle grosse aziende ho visto attuare ciò.
Rispondendo alla tua domanda, invece, purtroppo non ho una sezione firewall bensì solo una sezione che viene chiamata "Sicurezza" e checkandola mi escono delle sottosezioni che sono "Filter MAC" e "Filter IP", stop. Per quanto riguarda il servizio proxy, mi sembra non ne abbia nemmeno. Il router, comunque, è tp-link TD W-8968, magari tu lo conosca.
Mi sa tanto, però, dovrò cambiare apparato o aggiungere un firewall harware.

Grazie ancora e scusa se son poco chiaro

[GjMan78]

Non ho ben chiara la situazione quindi ti espongo due scenari.

il primo prevede che i soli pc utilizzabili siano quelli presenti in loco e configurati da te.
In questo caso basta limitare i diritti degli utenti impedendo loro di modificare le impostazioni di rete dei pc per far si che le tue configurazioni dei dns non vengano scavalcate.

Il secondo scenario è quello in cui le persone posso arrivare da te con i loro notebook e navigare collegandosi alla rete.
Situazione più complessa che vede come soluzione necessaria l'adozione di un hardware che si frapponga tra il router e la LAN, e che filtri le comunicazioni a prescindere dai DNS usati. Ci sono ottimi firewall in commercio, ma volendo risparmiare puoi optare per il riciclo di un vecchio pc o potresti usare una development board tipo il Raspberry Pi. Unico requisito fondamentale è la presenza obbligatoria di due schede di rete.

[Carmelo Mano]

Non ho ben chiara la situazione quindi ti espongo due scenari.

il primo prevede che i soli pc utilizzabili siano quelli presenti in loco e configurati da te.
In questo caso basta limitare i diritti degli utenti impedendo loro di modificare le impostazioni di rete dei pc per far si che le tue configurazioni dei dns non vengano scavalcate.

Il secondo scenario è quello in cui le persone posso arrivare da te con i loro notebook e navigare collegandosi alla rete.
Situazione più complessa che vede come soluzione necessaria l'adozione di un hardware che si frapponga tra il router e la LAN, e che filtri le comunicazioni a prescindere dai DNS usati. Ci sono ottimi firewall in commercio, ma volendo risparmiare puoi optare per il riciclo di un vecchio pc o potresti usare una development board tipo il Raspberry Pi. Unico requisito fondamentale è la presenza obbligatoria di due schede di rete.

Non ho ben chiara la situazione quindi ti espongo due scenari.

il primo prevede che i soli pc utilizzabili siano quelli presenti in loco e configurati da te.
In questo caso basta limitare i diritti degli utenti impedendo loro di modificare le impostazioni di rete dei pc per far si che le tue configurazioni dei dns non vengano scavalcate.

Il secondo scenario è quello in cui le persone posso arrivare da te con i loro notebook e navigare collegandosi alla rete.
Situazione più complessa che vede come soluzione necessaria l'adozione di un hardware che si frapponga tra il router e la LAN, e che filtri le comunicazioni a prescindere dai DNS usati. Ci sono ottimi firewall in commercio, ma volendo risparmiare puoi optare per il riciclo di un vecchio pc o potresti usare una development board tipo il Raspberry Pi. Unico requisito fondamentale è la presenza obbligatoria di due schede di rete.

Ciao GjMan, ringrazio anche te per l'aiuto. Rileggendo gli scenari, opterei di più per il secondo. Quindi frapporre un firewall cosìcchè faccia da filtro, e quindi far rispettare quanto da me imposto. A tal proposito, vorrei chiederti se potessi indicarmi qualche firewall non molto costoso(ai tempi d'oggi non posso permetterlo) o al massimo un buon router che funga da firewall, sempre ne valga davvero la pena. Grazie anticipatamente!

[GjMan78]

I netgear sono decenti, la configurazione è tutto sommato semplice ma non ho idea di come si comportino con il content filtering... non ne ho mai configurato uno con questo specifico compito. Ed il prezzo difficilmente scende sotto le 200 €.