Skip to main content

Manuale Utente (Inglese)

Sicurezza del router Keenetic

I dispositivi Keenetic dispongono di un Firewall integrato con controllo della connessione e prevenzione degli attacchi e di un meccanismo di traduzione degli indirizzi di rete (NAT) abilitato per impostazione predefinita. Limitano le connessioni in entrata da Internet o dall'interfaccia WAN ai dispositivi della rete domestica. Ciò consente di nascondere e proteggere i dispositivi di rete da altre persone e minacce provenienti da Internet. L'accesso al router Keenetic (alla sua interfaccia web) da Internet è bloccato per impostazione predefinita. È implementato per garantire la sicurezza del router, della rete locale e la protezione da accessi non autorizzati.

Per quanto riguarda la sicurezza delle informazioni sulla Rete Wi-Fi, la rete wireless del router Keenetic è protetta per impostazione predefinita dallo standard di sicurezza IEEE 802.11i (WPA2 AES). È impossibile connettersi a tale rete e leggere le informazioni trasmesse senza la sua password (chiave di sicurezza).

A partire dalla versione 3,1 di KeeneticOS, sono stati implementati gli algoritmi di sicurezza più recenti (WPA3-PSK, OWE, WPA/WPA2/WPA3-Enterprise e WPA3-192 Enterprise) per fornire una protezione migliorata per la Rete Wi-Fi. Per maggiori dettagli, vedere l'articolo WPA3, OWE and WPA Enterprise wireless security.

I dispositivi Keenetic supportano anche lo standard IEEE 802.11w dalla serie di standard IEEE 802.11 per i frame di gestione protetti (Protected Management Frames). Questa funzionalità migliora la sicurezza garantendo la privacy dei dati all'interno dei frame di gestione.

Importante

Con le impostazioni di fabbrica, il router è completamente protetto da attacchi e minacce provenienti dall'esterno e non richiede alcuna configurazione aggiuntiva se non la creazione di una password amministratore complessa* per il router. A livello di architettura, i servizi del router non utilizzano porte costantemente aperte o backdoor che possano essere utilizzate dagli hacker.

Per garantire la sicurezza del router Keenetic, si consiglia di verificare regolarmente la presenza di aggiornamenti e di installarli tempestivamente. Utilizzare la funzione di aggiornamento automatico del sistema operativo (abilitata per impostazione predefinita). Se sul tuo dispositivo è installata una versione aggiornata di KeeneticOS, non dovrai perdere tempo ad aggiornarla.

Mantieni le tue informazioni al sicuro: non condividere la password da amministratore del router con estranei.

* — Una password complessa (sicura) è una password difficile da indovinare e che richiede molto tempo per essere individuata con un attacco di forza bruta.

Quando si utilizza il nostro servizio KeenDNS , il certificato digitale e la chiave privata HTTPS sono memorizzati direttamente sul dispositivo di destinazione (router). Con l'accesso tramite un server cloud, utilizzando il protocollo HTTPS, viene creato un tunnel sicuro verso il router; questo garantisce la sicurezza e la riservatezza dei dati trasmessi su Internet. La sessione viene stabilita utilizzando la crittografia end-to-end. Ciò significa che le informazioni trasmesse tra il router e il browser tramite HTTPS non sono disponibili per i server cloud KeenDNS che forniscono la trasmissione dei dati a livello di trasporto. Con l'accesso al cloud tramite HTTP, viene stabilito un canale sicuro tra il router e il server KeenDNS utilizzando il certificato digitale KeenDNS, che garantisce anche la sicurezza dei dati e la protezione dalle intercettazioni.

Prestare attenzione quando si utilizzano i nomi di dominio KeenDNS di 4° livello per l'accesso remoto ai dispositivi di rete. Alcuni dispositivi hanno un'interfaccia web pubblica accessibile gratuitamente senza autenticazione (senza password). Non è sicuro aprire l'accesso remoto a tale dispositivo utilizzando KeenDNS. È possibile abilitare l'autenticazione forzata nel KeeneticOS per l'accesso remoto a tali dispositivi attraverso il router.

Tuttavia, l'utente può creare una vulnerabilità di sicurezza (una falla) configurando il router da solo. Ciò riguarda in particolare l'impostazione delle regole del firewall, l'inoltro delle porte, la connessione remota al router, l'accesso alle risorse della rete domestica e le impostazioni della rete wireless/ospiti Wi-Fi.

In teoria, un potenziale aggressore può accedere al router da remoto (da un'interfaccia WAN esterna, come la rete Internet o la rete dell'ISP) o localmente (ad esempio, dalla Rete Wi-Fi del router). È responsabilità dell'utente garantire che il dispositivo non sia accessibile a persone non autorizzate.

Importante

Non utilizzare una Rete Wi-Fi aperta (senza protezione) se non necessario; non è sicura, poiché la tua rete sarà liberamente accessibile da altri client e nelle reti aperte non è prevista la crittografia dei dati trasmessi.

Se si utilizza un indirizzo IP privato per accedere a Internet, non è necessario preoccuparsi di una protezione aggiuntiva per il router dagli attacchi provenienti da Internet. Con un indirizzo IP privato, il router non è accessibile da Internet per l'accesso diretto. Inoltre, per impostazione predefinita, l'accesso esterno è vietato dal firewall e dal meccanismo di traduzione degli indirizzi di rete (NAT). È sufficiente impostare una password complessa per l'account amministratore del router (admin).

Quando si utilizza un indirizzo IP pubblico, è necessario utilizzare regole di sicurezza aggiuntive. In questo caso, il router è visibile su Internet e sono possibili varie minacce e attacchi contro di esso.

Importante

A partire da KeeneticOS 3.4.6, il certificato digitale per la firma del firmware sull'infrastruttura cloud e sui dispositivi Keenetic viene rinnovato periodicamente. I certificati digitali precedenti vengono quindi revocati. Questo viene fatto per migliorare la sicurezza degli aggiornamenti di KeeneticOS e dei servizi Keenetic.

Strumenti di protezione aggiuntivi:

  • Impostare una password amministratore complessa per il router che sia lunga almeno 8 caratteri; Generare password casuali; Includere numeri e altri caratteri nella password; Evitare di utilizzare la stessa password per siti o scopi diversi; Controllare la robustezza della password di un account sulla pagina Gestione utenti dispositivo, che ha un indicatore di robustezza della password integrato; È anche possibile verificare la robustezza della password qui; Per creare una password robusta, è possibile utilizzare un gestore di password;

  • Utilizzare una password robusta per connettersi alla Rete Wi-Fi. Il router predefinito ha una password robusta che è difficile da indovinare e richiede molto tempo per essere individuata con un attacco di forza bruta;

  • Registra tutti i tuoi dispositivi nel router e imposta un profilo di accesso 'Senza Internet' (per negare l'accesso a tutti i dispositivi non registrati) o un limite di velocità per i dispositivi non registrati;

  • Utilizzare uno dei filtri Internet preinstallati (SafeDNSAdGuard DNSCloudflare DNS, NextDNS) per un accesso sicuro a Internet, per proteggere tutti i dispositivi domestici da siti pericolosi, servizi online e altre minacce;

  • Per proteggere il traffico DNS, è possibile utilizzare i protocolli DNS over TLS e DNS over HTTPS, che consentono di crittografare le richieste DNS. Il supporto per questi protocolli è disponibile dalla versione 3,0 di KeeneticOS. Il loro scopo principale è crittografare il traffico DNS per prevenire l'intercettazione e fornire ulteriore privacy e sicurezza. È possibile trovare maggiori informazioni nelle istruzioni Server proxy DoH e DoT per la crittografia delle richieste DNS;

  • È possibile utilizzare la funzione Controllo Accessi Wi-Fi creando una Lista Bianca. In questo caso, il router bloccherà la connessione per tutti i client che non sono in questa lista;

  • Se è necessario fornire un accesso temporaneo a Internet a terzi, utilizzare la Rete Ospiti Wi-Fi per questo scopo. Si tratta di una rete separata con solo accesso a Internet. Allo stesso tempo, i dispositivi collegati alla Rete Ospiti saranno isolati dalle risorse della rete domestica per proteggerla e metterla in sicurezza da virus e malware, ad esempio, contenuti sui dispositivi dei tuoi amici;

  • È possibile disabilitare la funzione di Configurazione Rapida WPS per migliorare il livello di sicurezza della tua Rete Wi-Fi;

  • Per migliorare la sicurezza della rete locale, è possibile utilizzare la nostra Keenetic applicazione mobile per inviare notifiche di connessione alla rete di un nuovo dispositivo non registrato al proprio indirizzo e-mail, tramite notifiche push (notifiche dall'applicazione Keenetic sul dispositivo mobile) o come avviso del messenger Telegram. Per maggiori informazioni, fare riferimento alla guida 'Configurazione delle notifiche per l'attivazione/disattivazione di un dispositivo specifico della rete domestica';

  • Per connettersi al router tramite un'applicazione di terze parti, si consiglia di creare un account utente dedicato, consentendo solo l'accesso al server desiderato (ad es. solo archiviazione USB SMBserver WebDAV o server VPN). Per motivi di sicurezza, non utilizzare un account amministratore del router, ma un account utente con diritti limitati.

  • La funzione Nascondi SSID abilita la modalità SSID nascosto della rete wireless. Se la si utilizza, il nome della tua Rete Wi-Fi non verrà visualizzato nell'elenco delle reti wireless disponibili sui dispositivi degli utenti (nessun SSID sarà visibile), ma gli utenti che sanno che la rete esiste e ne conoscono il nome potranno connettersi alla rete.

Inoltre, per i dispositivi con un indirizzo IP pubblico per l'accesso a Internet:

  • Non consentire l'accesso remoto da Internet all'interfaccia web Keenetic tramite HTTP e tanto meno tramite TELNET, se non necessario;

  • Si consiglia di cambiare le porte di controllo standard del router. Ad esempio, cambiare la porta di controllo tramite HTTP da 80 a 8080, e la porta di controllo tramite TELNET da 23 a 2023; Abilitare l'uso di una connessione remota all'interfaccia web del router solo tramite il protocollo HTTPS (questa funzione è implementata a partire dalla versione 3,1 di KeeneticOS);

  • A partire dalla versione 2,12 di KeeneticOS, è stato aggiunto il server SSH (Secure Shell), che consente di connettersi in modo sicuro alla riga di comando del router. Si consiglia di utilizzare una connessione SSH invece di TELNET quando ci si connette al dispositivo da Internet. Cambiare la porta di controllo SSH standard da 22 a un'altra, ad es. 2022;

  • Per l'accesso remoto alla rete locale, compresi i dispositivi di rete (ad es. telecamera IP, lettore multimediale di rete, o unità USB), si consiglia di utilizzare un server VPN su Keenetic (ad es. L2TP/IPsec, WireGuard, SSTPOpenConnectPPTP) piuttosto che aprire l'accesso utilizzando le regole di inoltro delle porte. In questo caso, creare un account utente separato per connettersi alla VPN e utilizzare una password utente complessa. Nel manuale 'Tipi di VPN nei router Keenetic' troverete una breve descrizione di tutti i tipi di VPN implementati nei nostri router;

  • Se non si utilizza il servizio UPnP, disabilitarlo. In questo caso, sarete sicuri che le regole NAT e del firewall non verranno create automaticamente. Ad esempio, il servizio UPnP può utilizzare malware dal localhost;

  • In alcuni casi, potrebbe essere necessario aprire determinate porte manualmente (impostare l'inoltro delle porte). Nell'inoltro delle porte, si consiglia di aprire solo determinate porte e protocolli necessari per il funzionamento del server o del dispositivo di rete, piuttosto che inoltrare tutte le porte e i protocolli a un host LAN;

  • Quando si utilizzano le regole di inoltro e il firewall, è possibile limitare l'accesso, ad esempio, consentendo l'accesso da un solo indirizzo IP o da una sottorete specifica, vietando tutti gli altri;

  • Se necessario, è possibile utilizzare le regole del firewall per bloccare l'accesso all'interfaccia web del router per determinati host LAN, bloccare le connessioni Telnet, consentire solo a determinati computer LAN di accedere a Internet e bloccare l'accesso a tutti gli altri, ecc. Per maggiori informazioni, consultare il tutorial Esempi di regole del firewall;

  • Non consentire le richieste di ping sul firewall per tutti gli utenti della rete esterna (da Internet).

Suggerimento

  1. I router Keenetic supportano diversi tipi di connessioni VPN per tutte le occasioni e per qualsiasi connessione: Wireguard, IPsec, SSTP, OpenConnect, PPTP, OpenVPN, L2TP/IPsec e il cosiddetto Server Virtuale IPSec (Xauth PSK). Per maggiori dettagli, consultare l'articolo 'Tipi di VPN in Keenetic'.

  2. A partire dalla versione 2,08 di KeeneticOS, è stata migliorata la protezione del router contro i robot che cercano le password  (protezione contro l'attacco di forza bruta). La protezione viene utilizzata per le interfacce esterne del dispositivo tramite i protocolli HTTP (TCP/80) e Telnet (TCP/23). Per impostazione predefinita, questa protezione è abilitata nel router. Se qualcuno inserisce credenziali di accesso errate al router per 5 volte in 3 minuti, il suo indirizzo IP sarà bloccato per 15 minuti.

  3. A partire dalla versione 2,12 di KeeneticOS, è possibile impostare i parametri per il tracciamento dei tentativi di intrusione tramite la ricerca di password SSH e del server FTP per le interfacce pubbliche (per impostazione predefinita, la funzione è abilitata).

  4. La libreria OpenSSL è continuamente aggiornata.

  5. A partire dalla versione 3,1 di KeeneticOS, abbiamo aggiunto la possibilità di impostare i parametri per il tracciamento dei tentativi di intrusione tramite la ricerca delle password del server VPN PPTP (per impostazione predefinita, questa funzione è abilitata).

  6. In Keenetic, tutte le opzioni WPS potenzialmente vulnerabili sono disabilitate (l'uso del codice PIN è disabilitato per impostazione predefinita e l'algoritmo di inserimento del codice PIN è appositamente modificato per contrastare l'hacking). Vengono utilizzati il supporto per il meccanismo WPSv2 e la protezione contro tutte le vulnerabilità note relative al protocollo WPS (inclusi gli attacchi Pixie Dust).

  7. In KeeneticOS, è stata migliorata la protezione contro la vulnerabilità WPA2 KRACK  (vulnerabilità del protocollo WPA2 nota come attacco di reinstallazione della chiave KRACK).

  8. Per quanto riguarda gli attacchi come 802.11r Fast-BSS Transition (FT) CVE-2017-13082, questi non interessano i router Keenetic, che supportano lo standard IEEE 802.11r.

  9. I router Keenetic non sono vulnerabili a CVE-2017-7494 (WannaCry, SambaCry).

  10. La protezione contro gli attacchi DoS e SYN-flood si trova nel kernel Linux utilizzato dal sistema operativo del router.

    Gli attacchi Denial of Service (DoS) e Distributed Denial of Service (DDoS) si basano sull'apertura di molte connessioni verso il dispositivo. Gli attacchi DDoS sono indistinguibili dalle operazioni di rete peer-to-peer in termini di oggetto a cui sono diretti. A causa delle loro caratteristiche, gli attacchi DDoS e la protezione contro di essi sono di scarsa rilevanza sia per i dispositivi di accesso domestico che per il segmento SOHO. Gli attacchi DDoS sono solitamente rivolti a strutture aziendali, siti pubblici, centri dati, ecc. Gli attacchi di tipo distributed denial of service vengono solitamente risolti efficacemente dal lato dell'ISP.

  11. A partire dalla versione 3,1 di KeeneticOS, è implementata la modalità 'Accesso HTTPS', che vieta l'accesso diretto agli indirizzi IP e ai nomi di dominio del router senza un certificato.

  12. A partire dalla versione 3.4.1 di KeeneticOS, nei router è implementato il blocco di attacchi come DNS Rebinding, ed è abilitato per impostazione predefinita.

  13. La versione 3.6.6 di KeeneticOS aggiunge correzioni per le vulnerabilità di sicurezza della rete Wi-Fi note come FragAttacks (Fragmentation and Aggregation Attacks): CVE-2020-24586, CVE-2020-24587, CVE-2020-24588, CVE-2020-26139, CVE-2020-26140, CVE-2020-26146, CVE-2020-26147. L'aggiornamento si applica a tutti i modelli con indice KN.

  14. Dalla release 3,7.1 di KeeneticOS, vengono cancellate le sessioni di gestione attive tramite l'interfaccia web Keenetic e l'applicazione mobile per migliorare la sicurezza dopo una modifica delle credenziali utente.

  15. Dalla versione 3.7.1 di KeeneticOS, è implementata la protezione contro la ricerca forzata di password per l'accesso remoto al dispositivo tramite il nome del dominio KeenDNS in modalità cloud.

  16. Dalla versione 4.3 di KeeneticOS, l'affidabilità di una password dell'account può essere verificata sulla pagina Gestione utenti dispositivo, che ha un indicatore di robustezza della password integrato.

In questa sezione: