Firewall Ubiquiti Unifi

[Matteo Mabesolani]

Ciao a tutti,

 

ho una rete dotata di USG Unifi, Switch, vari AP, Cloud Key e un modem D-Link fornitomi da WindTre. La porta WAN del USG è collegata ad una porta LAN del Modem ed è settata una DMZ (che poi non si chiamerebbe così ma pazienza...). Vorrei impedire a tutte le VLAN, tranne quella di management, di accedere alla gestione web del modem che ha IP 192.168.0.1 /30. E' quindi corretto creare una regola di DENY nella sezione WAN OUT avente come sorgente le VLAN interessate e come destinazione quell'IP? Pensavo di bloccare il telnet, ssh, http e https. Va bene?

 

grazie a tutti

 

Matteo

[Andrea Annoni]

Non amo Ubiquiti come firewall, anche se ne ho installati qualcuno.

Dipende da come hai attestato la connessione al firewall.......la regola, se non ricodo male, è anche corretta......ma se il 192.168.0.1 fa anche da gateway ovviamente non navighi più.

La soluzione migliore è attestare la PPPoE direttamente sul firewall in modo da eliminare anche la fastidiosa doppia NAT.

 

 

[Matteo Mabesolani]

17 ore fa, Andrea Annoni ha scritto:

La soluzione migliore è attestare la PPPoE direttamente sul firewall in modo da eliminare anche la fastidiosa doppia NAT.

Ciao @Andrea Annoni e grazie della risposta.

 

Il Modem Wind fa anche da Gateway e infatti c'è il doppio NAT. Non posso attestare la PPPoE su Unifi poichè avrei 2 IP pubblici e mi farebbero storie (il contratto ne prevede uno statico). Hai altre idee?

 

Grazie 

Matteo

[Andrea Annoni]

Nessuno ha detto di fare due pppoe (che comunque è perfettamente possibile anche dal punto di vista burocratico; se non fosse possibile è il provider che deve essere tenuto a bloccare sessioni multiple). 
semplicemente imposti il router in bridge e la pppoe la fa solo ubiquiti 

[Matteo Mabesolani]

14 minuti fa, Andrea Annoni ha scritto:

semplicemente imposti il router in bridge e la pppoe la fa solo ubiquiti 

Ho la fonia RTG emulata dal modem però.

 

15 minuti fa, Andrea Annoni ha scritto:

che comunque è perfettamente possibile anche dal punto di vista burocratico; se non fosse possibile è il provider che deve essere tenuto a bloccare sessioni multiple

Avendo IP statico assegnato dal provider mediante il suo DHCP succederebbe un casino (che IP prenderei sulla seconda PPPoE?) Al di la del fatto che se non sbaglio le sessioni multiple le bloccano

[Andrea Annoni]

5 ore fa, Matteo Mabesolani ha scritto:

Ho la fonia RTG emulata dal modem però.

In quel caso non hai molte soluzioni. O metti un FSX esterno o lo deve fare il modem. Ma per farlo il modem deve avere anche lui connessione. E quindi decade il tuo obbiettivo di bloccare le richieste.

Non mi risulta che ubiquiti possa gestire le richieste di destinazione e/o sorgente.

Con Mikrotik di sicuro si poteva fare utilizzando delle regole di firewalling nella chain di prerouting (es, Le richieste provenienti dalle varie subnet che specifichi, verso la porta 80 del modem devono essere droppate).

 

5 ore fa, Matteo Mabesolani ha scritto:

Avendo IP statico assegnato dal provider mediante il suo DHCP succederebbe un casino (che IP prenderei sulla seconda PPPoE?) Al di la del fatto che se non sbaglio le sessioni multiple le bloccano

Se vuoi attestare l'IP del provider c'è di sicuro l'autenticazione corretta da eseguire (c'è per tutti i provider)...es per TIM basta mettere nei vecchi contratti come user xxyyzzxxyyzz-0013C8-t@alicebiz.it dove xxyyzz è il MAC del router e come password alicenewag.

Nei nuovi invece basta autenticarsi come quellochevuoi@alicebiz.routed e password qualsiasi cosa.

Se invece, come nel tuo caso, la pppoe la lasci nel modem, ma poi ne crei una anche sul firewall questa assumerà un nuovo IP (solitamente per TIM è dinamico).

 

Ma come ripeto la PPPoE multipla è il provider che la concede o no. Io per esempio ai miei clienti NON concedo sessioni multiple; ma non perchè non voglio, ma perchè per come sono strutturato non ho modo di assegnare IP dinamici (e non mi interessa).

[Matteo Mabesolani]

@Andrea Annoni Ciao, penso di avere risolto il problema: ho creato una regola di Deny - Drop nella sezione LAN IN avente come sorgente la VLAN interessata e come destinazione l'IP del Modem, adesso non è più possibile raggiungerlo. La VLAN di Management invece aveva già bloccato il routing verso le altre VLAN avendo come destination RFC1918 e quindi non accedeva all'IP interessato, ho quindi creato una regola di permit e tutto va alla grande.

 

Ti faccio giusto2 domande visto che siamo in tema di Unfi

 

1- Mettiamo di voler isolare la VLAN 10 dalle altre VLAN: è sufficiente andare in LAN IN e mettere un deny dalla VLAN 10 verso tutti gli IP RFC1918. Nessuna richiesta verso le altre VLAN uscirà mai dalla VLAN 10, ma le richieste provenienti dalle altre VLAN arriveranno agli host di essa che tuttavia, essendo isolati non potranno rispondere. Io per sicurezza e per non sprecare risorse ritengo opportuna anche una regola LAN OUT avente come suorce RFC1918 e come destination la VLAN interessata, così da bloccare la richiesta ancora prima che arrivi. Che ne dici? è un buon metodo?

 

2- Sono installati anche 2 AP WIFI: io ho disabilitato la gestione automatica dei canali radio sul controller, preferisco essere io a regolare il tutto manualmente, dopo aver progettato bene sulla carta. Faccio bene?

 

Grazie mille del tuo aiuto

 

 

Matteo

[Andrea Annoni]

Il 24/1/2020 alle 00:26 , Matteo Mabesolani ha scritto:

1- Mettiamo di voler isolare la VLAN 10 dalle altre VLAN: è sufficiente andare in LAN IN e mettere un deny dalla VLAN 10 verso tutti gli IP RFC1918. Nessuna richiesta verso le altre VLAN uscirà mai dalla VLAN 10, ma le richieste provenienti dalle altre VLAN arriveranno agli host di essa che tuttavia, essendo isolati non potranno rispondere. Io per sicurezza e per non sprecare risorse ritengo opportuna anche una regola LAN OUT avente come suorce RFC1918 e come destination la VLAN interessata, così da bloccare la richiesta ancora prima che arrivi. Che ne dici? è un buon metodo?

Su questa domanda non so darti risposta. Non amo Ubiquiti come firewall; ne ho qualcuno ma usato come semplice router senza aver implementato troppo. Dovrei provare anche io. In teoria il ragionamento che hai fatto è corretto. Per quanto concerne la regole LAN OUT dipende da come lavora il flusso di firewall di Ubiquiti.......che sinceramente non ho mai approfondito; Ad esempio POTREBBE essere che i pacchetti arrivino al firewall come syn/ack e e quindi tecnicamente dall'altra parte uno può anche capire che in realtà c'è "qualcosa".

Ma ripeto che io Ubiquiti lo uso solo per alcuni PTP outdoor, quindi non ho molta esperienza. Anche se ho in programma di seguire alcune loro certificazioni.

 

Il 24/1/2020 alle 00:26 , Matteo Mabesolani ha scritto:

2- Sono installati anche 2 AP WIFI: io ho disabilitato la gestione automatica dei canali radio sul controller, preferisco essere io a regolare il tutto manualmente, dopo aver progettato bene sulla carta. Faccio bene?

Qui devo dire che in genere Ubiquiti sulla parte controller lavora abbastanza bene. La scelta di avere la selezione automatica o di forzare manualmente i canali è un po' soggettiva e relazionata anche un po' dal tipo di ambiente. 

In una situazione abbastanza contenuta si possono anche lasciare in automatico oppure dichiarare solo alcune frequenze da usare (es. i canonici 1-6-11); questo sono abbastabnza certo che lo faccia anche Ubiquiti.

Ci sono invece altre situazioni  più complesse dove è necessario rispettare l'analisi emersa magari da una survey. Caso reale un palazzo in centro a Milano di 50 piani dove abbiamo messo 145Ap per il mio cliente, ma negli stessi ambienti c'erano altri AP di un'altra società ed entrambi dovevano coesistere. Abbiamo quindi concordato una survey con azienda specializzata e poi, una volta definite le posizioni dei vari AP abbiamo stabilito le rispettive frequenze per ogni AP di ogni azienda.

 

 

[Matteo Mabesolani]

7 ore fa, Andrea Annoni ha scritto:

Qui devo dire che in genere Ubiquiti sulla parte controller lavora abbastanza bene. La scelta di avere la selezione automatica o di forzare manualmente i canali è un po' soggettiva e relazionata anche un po' dal tipo di ambiente. 

Ciao e anzitutto grazie delle preziose risposte: personalmente io faccio sempre una valutazione della situazione Wi-Fi (tipo di ambiente, congestione delle reti ecc...) ma preferisco progettare sulla carta e regolare tutto manualmente lato radio.