I-Storm ADSL Router with Firewall & VPN - Atlantis-Land
Contents
1. Creazione guidata nuova connessione Rete pubblica Windows In grado di assicurare che prima avvenga la connessione alla rete pubblica E possibile effettuare automaticamente una connessione a Internet o altre reti pubbliche prima di stabilire la connessione virtuale Non effettuare prima alcuna connessione Connetti automaticamente a Se non si dispone di una connessione ad Internet sempre attiva sar necessario selezionare quale connessione lanciare per raggiungere il router remoto Creazione guidata nuova connessione Selezione server PH Indicare il home o l indirizzo del server VPN Digitare il nome host o l indirizzo IP del protocollo internet del computer a cui si sta effettuando la connessione Nome host o indirizzo IP ad esempio microsoft com o1554071 IP PUBBLICO HOST NAME SERVER PPTA cinto Java malo Se il router remoto non dovesse disporre di un indirizzo IP statico possibile ottenere un Nome Host tramite il servizio Dynamic DNS Per ulteriori dettagli sul servizio fare riferimento alla sezione 3 8 7 2 Dynami DNS di questo manuale Creazione guidata nuova connessione Completamento della Creazione guidata nuova connessione Sono state eseguite le operazioni necessarie per la creazione della seguente connessione PPTP Remote Access Dial In Condividi con tutti gli utenti del computer La connessione verr salvata nella cartella Connessi2. PPPoE VPI VCI VC based LLC based multiplexing Username Password Opzionali Service Name e indirizzo IP del Domain Name System DNS pu essere assegnato dall ISP in maniera dinamica oppure fisso PPPoA VPI VCI VC based LLC based multiplexing Username Password Opzionali indirizzo IP del Domain Name System DNS pu essere assegnato dall ISP in maniera dinamica oppure fisso RFC1483 Bridged VPI VCI VC based LLC based multiplexing e configurare il dispositivo in BRIDGE Username e Password per la configurazione del Client PPPoE sul PC RFC1483 Routed VPI VCI VC based LLC based multiplexing indirizzo IP Subnet mask Gateway address e indirizzi IP dei Domain Name System DNS sono IP fissi IPoA VPI VCI IP address Subnet mask indirizzo del Gateway e indirizzi IP dei Domain Name System DNS sono IP fissi 3 8 Configurazione del Router tramite Browser Accedere col browser web al seguente indirizzo IP dove si inserisce l URL che di default YT 168 1 254 e peas il tasto invio ee 7 x A A ares S L Preferiti A multimedia pa T Indirizzo http 192 168 1254 e Yai Collegamenti 2 Immettere l username e la password utilizzare admin per username e atlantis come password nel caso di primo accesso Qualora la password fosse stata cambiata bisogna invece inserirla Premere OK per continuare 17 Connetti a 192 168 1 254 F Memorizza password Si raccomanda una volta
3. ee En ox cacai Configurazione in ambiente MAC 1 Cliccare sull icona Mela I 1071 Get preme nell angolo in alto a sinistra dello Rana schermo e selezionare Control ds Panel TCP IP Apparira la cr caen 10 pp finestra relativa al TCP IP come P Address wili be uma by marvet gt mostrata in figura Gubeat rask emit be supplica merer kier dirar i ill be supplhhd Ey arrar r 2 Scegliere Ethernet in Connect Via More sare sair twill be supplied ky marear 1 3 Scegliere Using DHCP Server in Configure Gi 4 Lasciare vuoto il campo DHCP Client ID 3 4 Verifica della Configurazione Per verificare 11 successo della configurazione dopo aver riavviato 11 PC operazione necessaria su Win98 SE ME e invece sufficiente ottenere il rilascio dell IP su XP 2000 utilizzare 11 commando ping Da una finestra Dos digitare ping 192 168 1 254 Se appare il seguente messaggio Pinging 192 168 1 254with 32 bytes of data Reply from 192 168 1 254 bytes 32 times lt 10ms TTL 64 Reply from 192 168 1 254 bytes 32 times lt 10ms TTL 64 Reply from 192 168 1 254 bytes 32 times lt 10ms TTL 64 Potete procedere andando al punto seguente Se invece appare il seguente messaggio Pinging 192 168 1 254with 32 bytes of data Request timed out Request timed out Request timed out Controllate che il led LAN sia acceso cambiate il cavo qulora non fosse cos Controllate l indirizzo del vostro P
4. ennesima volta che dovreste avere gi chiesto al vostro ISP tutti 1 dati relativi alla vostra connessione ADSL Individuato il tipo di protocollo seguire la sezione opportuna Evidenziare la sezione Configuration poi WAN e poi ISP Apparir la seguente immagine ISP Please select the type of service you wish to create ATM RFC 1483 routed RFC 1483 bridged PPPoA routed IPoA routed PPPoE routed Quick Start O e QUICK START Cliccare su Quick Start apparira la procedura automatica per selezionare la connessione Quick Start Encapsulation ppppa VPI lg VICI 135 NAT Enable Disable IP Address I 0 0 0 0 means Obtain an IP address automatically SubNetmask o Default Gateway DNS Primary DNS 80 20 6 36 Secondary DNS 212 216 112 112 PPP Username Password Cliccare su SCAN e poi su Start per ottenere le informazioni sul tipo di protocollo ed 1 valori di VCI VPI Qualora conosciate gia questi valori potrete procedere inserendoli immediatamente passando alla sezione opportuna Dopo aver premuto il tasto SCAN otterrete 1 parametri caratteristici della vostra linea ADSL Quick Start found PPPoA PVC on 9 35 Y 2 A questo punto evidenziare qualora siano state rilevate piu configurazioni possibili la configurazione e premere su Apply Non vi resta che inserire 1 parametri restanti Username e Password nel caso di PPPoA PPPoE o indir
5. 0 0 0 0 means Any Expire to auto logout 1480 seconds Universal Plug and Play UPnP O Enable Disable UPnP Port 2800 SNMP Access Control Read Community public IP Address 0000 Write Community password PAP Address 0000 Trap Community IP Address This setting will become effective after you save to flash and restart the router Apply 3 8 3 Save Config to FLASH Ogni volta che si effettua un cambiamento alla configurazione del dispositivo questo cambiamento viene salvo rare eccezioni immediatamente reso attivo Per rendere tale cambiamento permanente sufficiente ciccare su Save Config to FLASH e poi su Save In questo modo verr scritto su eprom e dunque caricato ad ogni boot del dispositivo 3 8 4 Logout Per uscire dalla configurazione del Router ADSL si consiglia di non chiudere il browser semplicemente ma di effettuare 1l Logout ciccando sull apposita voce l ultima verso il basso 3 9 Ripristino del Firmware Questa procedura consente il ripristino del firmware del Router qualora qualcosa sia andato male durante la procedura di update o qualora si sia sprogrammata la memoria flash a causa di scariche elettriche provenienti in massima misura sono meno probabili quelle sul cavo Lan tanto dalla rete elettrica quanto da quella telefonica A tal fine vi invitiamo di dotarvi degli apparati adeguati per evitare eventuali guasti i fulmini e o scariche elettriche non sono coperte d
6. 02 93906161 Email info atlantis land com oppure tecnici atlantis land com mettere nell oggetto il prodotto su cui si chiede assistenza WWW http www atlantisland it o www atlantis land com 98
7. 28 Day s v Tramite questa funzionalit possibile registrare un dominio ed associarlo ad un IP dinamico Ogni qual volta il Router si riconnetter tramite il client incorporato comunicher al server DNS il nuovo 67 indirizzo IP Associando tale funzionalit con il Virtual Server possibile ospitare un sito WEB sul proprio PC I passaggi da seguire sono 1 seguenti e Registrare il proprio dominio gratuitamente e istantaneamente su www dyndns org www zoneedit com e Configurare il client sull I Storm Router ADSL inserendo 1 campi appropriati Domain Name Username e Password e Impostare il campo Period Il Router infatti aggiornera il DDNS ogni qualvolta ottiene un nuovo IP dalla sfida PPP oppure ogni volta che il tempo contenuto nel campo Period stato superato A questo punto il Router sempre e comunque raggiungibile dall esterno E possibile ospitare un sito WEB o FIP ruotando le opportune porte accedere al servizio Server VPN o alla configurazione remota del Router In questo modo ogni utente esterno interrogher il server DNS che gli restituir di volta in volta l indirizzo IP assegnatovi dall ISP Usando la funzionalit di riconnessione disponibile in PPPoA e PPPoE qualora la connessione dovesse cadere il Router la rialzer Immediatamente Qualora dovreste incontrare problemi quali la sospensione del servizio vi invitiamo a prendere nota delle condizioni praticate dal vostro fornitore di servizio
8. Delete 0 tep isoa 1503 Block Block Edit Delete 0 Tee 22 22 Block Block Edit Delete UDP 123 123 Block Allow Edit Delete 0 Non resta che modificare premendo Edit la regola in questione Nel nostro caso per la regola ICMP sufficiente rendere possibile il traffico in ingresso per consentire al router di rispondere dato che il traffico ICMP in uscita gi consentito In maniera identica per l FTP sceglieremo la regola opportuna e renderemo il traffico in uscita possibile In figura possibile osservare adesso il nuovo insieme di regole Port Filters Type Start Port End Port Inbound Outbound TCR UDP TCR TCR TCR TCR TCP TCR UDP ICMP TCP TCP TCP UDP o0 mii Block Allow Edit O O 53 53 Block Allow Edit Delete 0 53 Da Block Allow Edit O Delete 21 a4 Block Allow Edit Delete 23 23 Block Block Edit Delete 0 25 25 Block Allow Edit Delete O 110 110 Black Allow Edit O Delete O 119 t19 Block Block Edit Delete O 00 00 Block Block Edit Delete MIA MIA Allow Allow Edit O Delete O 1720 1720 Block Block Edit O Delete amp 1503 1503 Block Block Edit Delete 0 22 22 Block Block Edit Delete 123 123 Block Allow Edit Delete O Delete Cliccando su Delete invece l intera regola viene eliminata e tutto il traffico che la riguarda viene scartato Per aggi
9. Dial out server P Address or Hostname 69121 137 Dial in Private IP Address Assigned to Dialin User Peer Network IF 1492 16610 Netmask Username username Password ACACIA TA Auth Type Chap Auto Data Encryption Fao Key Length Auta More stateful Idle time 0 minutes E 57 Inserire nel campo Connection Name una nome che identifichi la connessione selezionare Dial Out come tipologia di connessione e inserire 1 IP o il Nome Host del PPTP Server remoto Inserire ora l indirizzo di rete della LAN remota inserire quindi Username e Password con 1 quali il router acceder al servizio e cliccare sul pulsante Apply per applicare le modifiche La nuova connessione viene automaticamente impostata come Disable selezionare quindi la voce Enable cliccare sul pulsante Apply e salvarle cliccando sulla voce del men Save config to flash seguito dal pulsante Save Per modificare la nuova connessione necessario spostare lo stato da Enable a Disable e cliccare su Apply il comando Edit sar quindi attivato Ora le due reti potranno possono scambiare informazioni crittate E importante che le due LAN appartengano a due subnet differenti la configurazione mostrata sopra utilizza infatti una rete 192 168 1 0 e una 192 168 2 0 E possibile verificare il corretto funzionamento della VPN PPTP cliccando sulla voce Status del menu e poi sulla voce PPTP Status 3 8 5 4 IPsec VPN In questo scenario due
10. admin Password atlantis Indirizzo IP e subnet Mask IP Address 192 168 1 254 Subnet Mask 255 255 255 0 ISP setting in WAN site nessuno DHCP server DHCP server abilitato con indirizzi IP da 192 168 1 1 al 192 168 1 199 3 6 1 Recupero Password Quando si configura l I Storm ADSL Firewall Router con il browser premere su OK per entrare dopo aver introdotto l username admin e password atlantis per la prima volta E consigliato cambiare la password al fine di aumentare la sicurezza L I Storm ADSL Firewall Router conserva una sola password per volta Qualora si perdesse la password premere il tasto Reset posto nel pannello posteriore per pi 7 secondi In questo modo il Router caricher 1 settaggi di default Sez 3 6 3 6 2 Porte LAN e WAN I parametri della Lan e wan sono settati di default nella seguente maniera Porta LAN Porta WAN IP address 192 168 1 254 Nessuno Subnet Mask 255 255 255 0 Funzionalit DHCP Abilitato server Indirizzi IP distribuiti 100 IP disponibili da 192 168 1 1 sino ai PC a 192 168 1 199 Attualmente sono supportati sino a 253 utenti 3 7 Informazione sull ISP Prima di iniziare la configurazione dell I Storm ADSL Firewall Router necessario ricevere dal proprio ISP il tipo di protocollo supportato per la connessione PPPoE PPPoA RFC1483 oppure IPoA Pu essere utile prima di iniziare accertarsi di avere le informazioni riportate nella tabella sottostante
11. assegnato all host remoto una volta proiettato nella LAN Inserire quindi Username e Password con 1 quali l utente remoto acceder al servizio e cliccare sul pulsante Apply per applicare le modifiche La nuova connessione viene automaticamente impostata come Disable selezionare quindi la voce Enable cliccare sul pulsante Apply e salvarla cliccando sulla voce del men Save config to flash seguito da lpulsante Save Per modificare la nuova connessione necessario spostare lo stato da Enable a Disable e cliccare su Apply il comando Edit sar quindi attivato Vediamo ora come configurare 11 PC in modo da accedere alla rete aziendale tramite PPTP Anzitutto cliccare sull icona Connessione di rete contenuta nel pannello di controllo Poi scegliere la voce Crea nuova connessione premere poi avanti ed effettuare le scelte come nelle figure che seguono Creazione guidata nuova connessione Creazione guidata nuova connessione Questa procedura quidata consente di Connettere il computer a Internet Connettere il computer a una rete privata come una rete aziendale Installare una rete domestica o una piccola rete aziendale Per continuare scegliere Avanti z Indietro Avani Annulla Creazione guidata nuova connessione Tipo di connessione di rete Scegliere l operazione da effettuare Connessione a Internet Consente di connettere il computer a Internet e di esplorare il Web e leggere la posta elettr
12. assegnato dal Router ADSL Anzitutto necessario preparare 1 PC inserendovi qualora non ci fosse gi la scheda di rete E necessario poi installare il protocollo TCP IP Qualora il TCP IP non fosse correttamente configurato seguire gli steps successivi Qualsiasi workstation col TCP IP pu essere usata per comunicare con o tramite NOTE il Router ADSL Per configurare altri tipi di workstations fare riferimento al y manuale del produttore 3 2 Collegare l I Storm ADSL Firewall Router Collegare il Router alla LAN ed alla linea telefonica Accendere il dispositivo Accertarsi che 1 LED POWER e SYS siano accesi Controllare che 1 LED LAN siano accesi Accertarsi che ogni software Firewall sia disinstallato dal vostro PC Passare adesso alla configurazione del TCP IP sui vari PC 3 3 Configurazione dei PC Panel Cliccare 2 volte su Network e scegliere Configuration Selezionare TCP IP gt NE2000 Compatible o qualsiasi Network Interface Card NIC del PC Configurazione del PC in Windows 95 98 ME 1 Andare in Start Settings Control Network Configuration Identification Access Control The following network components are installed af ME 2000 Compatible 47 NetBEUI Dial Up Adapter 47 NetBEUI NE2000 Compatible 4 TCP IP gt Dial Up Adapter t TCPVIP NE2000 Compatible ca File and printer sharing for Microsoft Networks Remove Properties Primary Network Logon Cl
13. riassume quanto detto RRET E AZIENDA LE P REMOTO PPTP VPN FILE SERVER S Per configurare il router per la modalit VPN PPTP Remote Access Dial Out necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del men poi sulla voce VPN e selezionare quindi la voce PPTP Nella parte destra della pagina di configurazione cliccare sulla voce Create e alla successiva schermata su Remote Access Cliccare quindi sul pulsante NEXT per accedere alla pagina Connection Name DIAL OUT Type Dial out Server P Address for Hostname 69 1 121 30 O Dial in Private IP Address Assigned to Dialin User I Username pame Password PEE Auth Type Chap Auto Data Encryption Eito 3 Key Length Auto m Mode stateful v Idle time minutes a o Inserire nel campo Connection Name un nome che identifichi la connessione selezionare Dial Out come tipologia di connessione e inserire l IP o il Nome Host del PPTP Server remoto Inserire quindi Username e Password con 1 quali il router accedera al servizio e cliccare sul pulsante Apply per applicare le modifiche La nuova connessione viene automaticamente impostata come Disable selezionare quindi la voce Enable cliccare sul pulsante Apply e salvarle cliccando sulla voce del men Save config to flash seguito dal pulsante Save Per modificare la nuova connessione necessario spostare lo stato da Enable a Disable e cliccare
14. ADSL Firewall Router Non usare il Router ADSL in un luogo in cui ci siano condizioni di alte temperatura ed umidit il Router potrebbe funzionare in maniera impropria e danneggiarsi Non usare la stessa presa di corrente per connettere altri apparecchi al di fuori del Router ADSL Non aprire mai il case del Router ADSL n cercare di ripararlo da soli Se il Router ADSL dovesse essere troppo caldo spegnerlo immediatamente e rivolgersi a personale qualificato Mettere 1l Router ADSL in una superficie piana e stabile Usare esclusivamente l alimentatore fornito nella confezione 2 2 I LED ane POWER Acceso fisso quando connesso alla rete elettrica Acceso quando il sistema pronto Acceso quando connesso ad un dispositivo Ethernet Verde connessione a 100Mbps pO EE POTN EAE n 10Mbps Lampeggiante quando vi trasmissione ricezione MAIL Acceso quando c una mail nall account configurato Acceso fisso quando una connessione PPPoE PPPoA attiva Lampeggia quando tenta di costruire una connessione PPP Spenta se si utilizza un protocollo diverso RFC 1483 o 1577 Acceso fisso quando connesso in modalit ADSL DSLAM 13 ADSL were Lampeggiante durante la fase di allineamento 2 3 Le PORTE ii ca OSE ir metodi 5 L E ql i a E ii u a PORTE UTILIZZO LINE Connettere 1l cavo RJ 11 a questa porta per connettore RJ 11 effettuare l allacciamento all ADSL RS 232 porta Connettere il
15. Dial in Private IP Address Assigned to Dialin User I Peer Network IF 492 68 20 Netmask Username I Password opaca Auth Type Chap Auto Data Encryption Auto i Key Length Auto Mode stateful Idle time 0 l minutes o Inserire nel campo Connection Name una nome che identifichi la connessione selezionare Dial Out come tipologia di connessione e inserire VIP o il Nome Host del PPTP Server remoto Inserire ora l indirizzo di rete della LAN remota inserire quindi Username e Password con 1 quali il router accedera al servizio e cliccare sul pulsante Apply per applicare le modifiche La nuova connessione viene automaticamente impostata come Disable selezionare quindi la voce Enable cliccare sul pulsante Apply e salvarle cliccando sulla voce del menu Save config to flash seguito dal pulsante Save Per modificare la nuova connessione necessario spostare lo stato da Enable a Disable e cliccare su Apply il comando Edit sar quindi attivato ROUTER 2 Per configurare il router per la modalit VPN PPTP Lan to Lan necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del men poi sulla voce VPN e selezionare quindi la voce PPTP Nella parte destra della pagina di configurazione cliccare sulla voce Create e alla successiva schermata su LAN to LAN Cliccare quindi sul pulsante NEXT per accedere alla pagina PPTP Lan to Lan Connection Mame LAN to LAN Type
16. RARE OTO 48 3 8 5 1 PPTP VPN Remote Access Dial In as 49 3 8 5 2 PPTR VPN Remote Access Dial ati 54 E PPIP VPN Ean A a aa a A OT Na gee 56 Dio O IO a NO 58 A AA II IO OT 61 Fo et RN 65 OO lh ROUNA FAD AAA o ROO O A eres ese meacae ae aan 65 SD DN Sta 67 Dee a gt sm eae a se a ont i Ente tae 68 30 4 DEVE MARINO 68 CO XIV T acciai aaa 69 OA tania iii 69 DI RIPRIS TINO DEL FIRMWARE ila 69 5 OCONSOLEE OTEENET alii io 71 CAPITOLO A 75 PROBLEMI ALLA PARTENZA DELL I STORM ADSL ROUTER ocococcnccnccnncnnconccnncnnccnnconconcconcnnconoconcnnocons 75 HO DIMENTICATO LA PASS WORD lisis 75 NON RIESCO AD ENTRARE NEL ROUTER VIA WEB _ eterea rie rie rie rie rie rie riore rie rioni nie nione 75 PROBLEMI CON L INTERFACCIA WAN i 76 PROBLEMI CON L INTERFACCIA LAN Suit ii bd 76 PROBLEMI DI CONNESSIONE AD UN REMOTE NODE OPPURE AD UN ISP iii nie nie 76 CONFLIT TO DEINDIRIZZI IP lele 76 HZ ROUTER NON RIBSCEAD ALLINEARS 7 osare d aid 77 COS BULBS Ps lip cape ee ee rer renter epee ira TI PERCOR O DEEP ACC HIE TT cir ete tahoma dias a 78 NON FUNZIONA CORRETTAMENTE UN APPLICAZIONE INTERNET ccccscccssccscccsscsccscesscesscesccesseessees 78 PERCH NONOSTANTE IL VS ALCUNE APPLICAZIONI NON VANNO cccccsscccsccecccccsccccsscccescceesecense 79 PERCH NONOSTANTE LA DMZ ALCUNE APPLICAZIONI NON VANNO cicci eiiee eee cie neces 79 REG l455 BRIDGESUMAGCOSS iaia 80 REC 1433 BRIDGE SU
17. Router ADSL Hyper Terminal File Modifica Visualizza Chiama Trasferimento 192 168 1 254 gt Connesso a 0 01 21 Riley aut 9600 8 N 1 A questo punto apparira l indirizzo LAN del Router ed un cursore lampeggiante Utilizzando il comando help seguito dal tasto invio possibile vedere la lista di tutti 1 comandi disponibili Vi apparir il seguente elenco pu variare a seconda del Firmware installato Router ADSL HyperTerminal 192 168 1 254 gt help Commands are ap atm bridge bsp buf fer chips config consolepassword db ddns dhcpclient dhcprelay dhcpserver dnsclient dnsrelay edd ethernet event factorysetting firewall flashfs fm httpd isfs 12tp led nat oam oamcli ppp pptp remotetelnet showpassword snmp sntpclient telnetpassword tftp traceroute uptime version webpassword a repeats the last command Type help all or help lt command gt for more details 192 168 1 254 gt Connesso a 0 00 17 Rilev aut 9600 8 N 1 Digitando il nome del comando se riferito ad un processo seguito da invio e poi digitando help all potremo vedere tutti 1 comandi relativi all opportuno processo Per tornare alla root sara sufficiente digitare home seguito da invio Alcuni comandi invece quelli non riferiti ad un processo eseguono immediatamente un azione Di questa categoria fanno parte tra gli altri restart effettua il restart del Router uptime mostra il tempo dall ultima accensione o rest
18. Router ma fuori dal range di indirizzi IP assegnabili dal server DHCP attivo sul Router ADSL Qualora abbiate problemi con un server FTP creare un Virtual Server che ruoti anche la porta 20 Selezionare inoltre in IE la modalit FTP passiva 63 Alcune applicazioni Internet ormai oggi diffusissime necessitano per essere usate pienamente di una configurazione particolare della sezione Virtual Server del Router ADSL Nella lista seguente sono presenti questi settaggi La lista non vuole essere esaustiva ma solo un punto d inizio invitiamo a consulare eventuali aggiornamenti di questo manuale scaricabile dal sito www atlantisland it o www atlantis land com poi sezioni prodotti si sceglie il Router ADSL e da qui possibile scaricare il manuale 5632 UDP 22 UDP 5631 TCP 5632 UDP 22 UDP 5631 TCP 65301 TCP 65301 TCP 4665 UDP MSN Messanger Nessuno TCP da 6891 6900 TCP 1863 TCP 6901 UDP 1863 UDP 6901 UDP 5190 Usando NetMeeting Versione3 0 ad esempio quando la chiamata generata uscente da un PC dietro al Router verso un PC esterno non ci sono problemi Il contrario non realizzabile Rigirando invece le porte 1503 e 1720 possibile ricevere anche chiamate in ingresso con video h 323 e T 120 In figura presente una configurazione di VS per ricevere chiamate in ingresso in Netmeeting vengono rigirate al PC con IP 192 168 1 12 Rag ria TCP 1503 192 168 1 H 323 TCP 1720 192468112 Attenzione il R
19. account Non richiesto nessuno client software PPPoE per 1 PC locali Sono inoltre offerte funzionalit di Dial On Demand e auto disconnection Idle Timer Virtual Server L utente pu specificare alcuni servizi che s1 rendono disponibili per utenti esterni L I Storm ADSL Firewall Router pu riconoscere le richieste entranti di questi servizi e rigirarle al PC della Lan che li offre E possibile per esempio assegnare una data funziona ad un PC della Lan come server Web e renderlo disponibile in Internet tramite l unico IP statico disponibile Dall esterno cos possibile accedere al server Web che resta comunque protetto dal NAT Grazie all uso della tecnologia DDNS non necessario che il Router abbia un abbonamento con IP fisso Dynamic Host Control Protocol DHCP client and server Nella WAN DHCP client pu prendere un indirizzo IP dall ISP automaticamente Nella LAN il DHCP server pu gestire sino a 253 client IP distribuendo a ciascun PC un indirizzo IP la subnet mask ed 1 DNS Questa funzionalita consente una facile gestione della Lan e Protocollo RIP1 2 per il Routing Supporta una semplice tabella statica oppure il protocollo RIP1 2 per le capacita di routing e SNTP Una facile via per avere informazioni sull ora dal server SNTP e Configurabile GUI via Web Telnet Seriale o SNMP La gestione e la configurazione sono possibili via interfaccia grafica browser via CLI Telnet o Hyperterminal o SN
20. fully integrate domain registration and management Registration with Custom DNS May012003 Our Dynamic DNS and Static DNS gives you a new name like more yourname dyndns org one of 34 domains These services are free for up to 5 hostnames Stories I Redundancy Want to get rid of that ugly http home yourisp com someuserf web address Try What It Takes to Achieve 100 000 uptime 4 our free WWebHop M web redirection If you want to use redirection with a domain that you use with Custom DNS then you can use MyWWebHop M web redirection A Open source l A Commitment to C ity and Bett With all of our services we offer round the clock support that can be reached on aa A o the web or by email Applications About DynDNS or How to Get the Most Out of the Internet pe 3 0 Internet Effettuate la registrazione cliccando su Create Account inserendo Username Indirizzo Mail e Password Vi verra spedita immediatamente una mail con le istruzioni per proseguire la registrazione e confermare cosi 1l tutto entro 48 ore Seguite le istruzioni contenute e compilate il form per terminare la fase di registrazione 89 A questo punto riloggatevi nel sito andate su Services evidenziate nella parte sinistra il menu Dynamic DNS e poi cliccate su Add Host Non vi resta che introdurre il Nome dell host evidenziare Enable WildCard e scegliere il suffisso che pi preferite e premere poi sul bottone Add Host per terminar
21. router prima di essere processato viene confrontato con quelli presenti nella blacklist e se presente viene scartato A seconda del tipo di attacco l IP verr mantenuto inattivo per un determinato periodo di tempo scaduto il quale verr cancellato dalla Blacklist Vediamo nel dettaglio le tipologie di attacchi DoS e Attacchi che mirano all esaurimento della banda sono realizzabili in due modalit diverse a seconda di quanta banda abbia l attaccante Qualora la banda sia maggiore dell attaccato pu saturarlo diversamente altrimenti pu usare altri host che di fatto amplificano l attacco e Attacchi che mirano all esaurimento delle risorse Attacchi contro difetti di programmazione che mirano a sfruttare bug software o hardware Attacchi DoS generici Vengono riconosciuti diversi tipi diversi di patterns tra 1 quali e IP Spoofing Ping of Death Length gt 65535 Land Attack Same source destination IP address IP with zero length Sync flooding Smurf Attack ICMP Echo with x x x 0 or x x x 255 Snork Attack UDP port loop back TCP NULL scan TCP XMAS Scan WinNuke Attack TCP SYN Flooding Ascend Kill IMAP SYN FIN scan Net Bus scan Back Orifice scan Segue una breve descrizione del funzionamento degli attacchi pi comuni e IP Spoofing un attacco particolare in cui l attaccante cerca di intromettersi in una connessione con lo scopo di abbatterla o di prenderne il controllo Puo essere fatto
22. sedi remote verranno connesse tramite una VPN IPSec gli utenti della LAN 1 devo condividere risorse e servizi con la LAN 2 La figura che segue riassume quanto detto LANA LAN 2 IPSec VPN gt SY Router 1 AAA Router 2 Lan IP 192 168 1 254 Lan IP 192 168 2 254 Wan IP 69 121 1 31 Wan IP 69 121 1 32 ili e Vediamo quindi come configurare 1 due router A02 RA3 per mettere in comunicazione le due sedi e ROUTER 1 Per configurare il router per la modalit VPN IPSec necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del men poi sulla voce VPN e selezionare quindi la voce IPSec Nella parte destra della pagina di configurazione cliccare sulla voce Create e poi sul pulsante Apply Connection Name PEC Lil Local Netv ork Single Address IP Address Subnet IP Address 492 168 2 0 Netmask 255 255 255 0 OIF Range IP Address End IP Remote secure Gateway Address or Hostname 6a 121 1 31 NetWork Single Address IP Address Subnet IP Address 192 16910 Netmask 255 255 255 0 OIP Range IP Address End IP Proposal ESP OAH Authentication MDS Authentication MDS Encryption AES v Prefect Forward secrecy Mone Pre shared Key 23456700 Inserire nel campo Connection Name una nome che identifichi la connessione Nella sezione Local selezionare la voce Subnet inserire quindi indirizzo di rete e netmask della l
23. sia dall interno della propria Lan con possibilit pi alte di successo se si dispone di LAN con HUB che da Internet con possibilit di successo infinitamente inferiori Grazie al SPI il Router esamina a fondo 1 pacchetti che lo attraversano e confrontando molti parametri coi pacchetti precedenti della stessa connessione riesce a stabilire con efficacia se un pacchetto in arrivo spoofato o meno Sync Flood come gi accennato un attacco che mira a esaurire le risorse del sistema che lo subisce All atto dell instaurazione di una connessione viene spedito un pacchetto dall attaccante col quale si avvisa che si vuole costruire la connessione Il ricevente cio l attaccato alloca delle risorse e risponde con un pacchetto per proseguire la creazione della connessione L attaccato aspetta pazientemente il pacchetto di risposta che non arriver mai poich l attaccante avr scelto o un IP di un host spento oppure star attaccando l host in questione impedendogli di rispondere Le risorse allocate saranno bloccate sino a che non scade il timer associato Nel frattempo l attaccante ripeter quest attacco finendo col bloccare tutte le risorse disponibili nell attaccato Il firewall integrato nell I Storm ADSL Firewall Router riconosce il tentativo di apertura di diverse connessioni provenienti dallo stesso IP e non allocher le risorse Certamente a meno di trovarsi con sprovveduti VIP che verr registrato ne
24. velocit con cui questi si evolvono si consiglia sempre di non considerarsi inattaccabili Qualora le informazioni custodite siano particolarmente importanti consigliamo un attenta configurazione del firewall e magari l uso di prodotti a supporto pi adatti al caso Un utente pu decidere di abilitare il firewall del Router composto sostanzialmente dalle seguenti sottosezioni General Settings Packet Filter Intrusion Detection Mac Filter URL Filter Il firewall presente nel Router opera su 2 differenti livelli 1 Anzitutto previene dagli accessi indesiderati dall esterno della LAN Questo fatto su 3 E livelli NAT quando abilitato sempre escluso il caso di classe pubblica tutti 1 PC della LAN sono visti dall esterno come un unico indirizzo IP E molto pi difficile pertanto per un hacker accedere alla singola macchina General Settings Packet Filter e possibile filtrare per pacchetto e protocollo tutto quello che entra verso la LAN e far effettivamente passare solo il traffico ritenuto sicuro Intrusion Detection questa sezione si occupa di effettuarre una difesa attiva contro ogni tipo di attacco DoS Port Scan utilizzando al fine di ridurre l efficacia di questi attacchi una blacklist dinamica Ogni tentativo di attacco memorizzato in un file di Log 2 Previene inoltre gli accessi dalla LAN locale consigliabile General Settings Packet Filter e possibile filtrare per pacchetto e p
25. visto nella LAN potrebbe essere un IP pubblico nel caso l ISP vi fornisca una classe E necessario qualora si cambiasse IP con quello di un altra subnet accertarsi che tutti 1 PC della LAN abbiano un indirizzo IP se non sono settati come client DHCP nella stessa subnet Diversamente questo potrebbe impedire il corretto funzionamento della LAN e l accesso al Router ADSL IL Router supporta 2 indirizzi IP su 2 differenti subnet In questa modalit 1 PC appartenenti a 2 sottoreti differenti possono contemporaneamente andare in Internet Cliccando su Advanced Options possibile configurare la versione di protocollo RIP V1 e V2 e Multicast utilizzata dal Router Il Router ADSL usa il protocollo dinamico RIP per aggiornare le proprie tabelle di routine facendo il broadcasting di queste informazioni agli altri router che aggiustano le loro tabelle E necessario scegliere tra RIP1 RIP2 oppure RIP1 RIP2 sia per la trasmissione che per la ricezione attraverso la rete LAN RIP Versions Name Value Accept false Accept V2 false I Send 1 false a send Wa falsa al Send Multicast false e Change Reset IP Address Il valore di default 192 168 1 254 Subnet Mask Il valore di default 255 255 255 0 Gli scenari possibili per la configurazione di una rete Lan privata o pubblica ed il Router ADSL potrebbero essere moltissimi a titolo d esempio vengono riportati 1 pi comuni Quando si implementa il Nat si
26. voce Enable Blocking Log possibile avere un LOG aggiornato di tutte le azioni del Firewall nella sezione Status Event Log Selezionando Keywords Filtering e premendo poi Details possibile limitare l accesso a tutti gli URL contenenti la parola specificata Ad esempio immettendo it possibile bloccare tutti e soli 1 siti con estensione it Selezionando Domains Filtering e premendo poi Details possibile limitare l accesso a tutti e soli gli URL specificati o creare una lista vietata E possibile infatti creare una lista di siti vietati da mettere in Forbidden Domain oppure consentire l accesso a solo un limitato numero di siti da mettere in Trusted Domain e spuntare la voce Disable all Web traffic except for Trusted Domain In qusto modo potrete limitare l accesso ai soli siti che ritenete opportuni e controllare comunque in Status Event Log tutti 1 tentativi di violazione dell URL Filtering 3 8 5 VPN Le Virtual Private Network consentono di mettere in comunicazione due o pi LAN fisicamente distinte attraverso Internet garantendo la riservatezza delle informazioni tramite meccanismi di autenticazione e crittografia Questo reso possibile da un insieme di tecnologie che permettono la creazione di un Tunnel tra le sedi remote Il Tunneling il processo di incapsulamento dei pacchetti provenienti dalla rete locale in altri pacchetti che attraversano la rete pubblica in grado di nascondern
27. Ah armes AND I Storm ADSL Router with Firewall amp VPN Manuale Utente wi AVVERTENZE Abbiamo fatto di tutto al fine di evitare che nel testo nelle immagini e nelle tabelle presenti in questo manuale nel software e nell hardware fossero presenti degli errori Tuttavia non possiamo garantire che non siano presenti errori e o omissioni e vi preghiamo di segnalarceli Infine non possiamo essere ritenuti responsabili per qualsiasi perdita danno o incomprensione compiuti direttamente o indirettamente come risulta dall utilizzo del nostro manuale software e o hardware Il contenuto di questo manuale fornito esclusivamente per uso informale soggetto a cambiamenti senza preavviso a tal fine si invita a consultare il sito www atlantisland it o www atlantis land com per reperirne gli aggiornamenti e non deve essere interpretato come un impegno da parte di Atlantis Land spa che non si assume responsabilit per qualsiasi errore o inesattezza che possa apparire in questo manuale Nessuna parte di questa pubblicazione pu essere riprodotta o trasmessa in altra forma o con qualsiasi mezzo elettronicamente o meccanicamente comprese fotocopie riproduzioni 0 registrazioni in un sistema di salvataggio oppure tradotti in altra lingua e in altra forma senza un espresso permesso scritto da parte di Atlantis Land spa Tutti 1 nomi di produttori e dei prodotti e qualsiasi marchio registrato o meno menzionati in questo manuale sono usati a
28. C digitando winipcfg per Win95 98 ME o ipconfig per Win2000 XP ed eventualmente reinstallate lo stack TCP IP Se non riusciste a risolvere 11 problema consultare le FAQ nella parte finale di questo manuale 3 5 Configurazione del Browser A questo punto necessario lanciare IE andare nel men Strumenti poi scegliere il tab Connessioni e scegliere le voci e non utilizzare mai connessione remota e usa connessione remota se non disponibile una connessione di rete Si osservi la figura sottostante 15 Opzioni Internet Generale Protezione Privacy Contenuto Connessioni Programmi Avanzate i Per impostare una connessione Imposta a Internet scegliere Imposta Impostazioni connessioni remote e WFN Tiscali Aggiungi TiscallSDN VerdePPPoE Rimuoxi Per configurare un server proxy per una i E Impostazioni connessione scegliere Impostazioni Non utilizzare mai connessioni remote Usa connessione remota se non disponibile una connessione di rete Utilizza sempre la connessione remota predefinita Impostazioni rete locale LAN Le impostazioni LAN non vengono applicate alle Impostazioni LAN connessioni remote Per le impostazioni di connessione remota scegliere il pulsante Impostazioni 3 6 Settaggi di Default Prima di iniziare la configurazione dell I Storm ADSL Firewall Router necessario conoscere quali siano 1 settaggi di default Web Configurator Username
29. CF Per effettuare il Ripristino cliccare sul bottone Sfoglia indicando il percorso dove contenuto il file contenente la configurazione e cliccare poi su Restore 3 8 3 5 Restart Router Restart Router From this page you may restart your router After restarting please walt for several seconds to let the system come up It you would like to reset all configuration to factory default settings please check the following box Reset to factory default settings Restart Router Se per necessit si desidera reimpostare il router ADSL con la configurazione di default perdendo tutti 1 settaggi inseriti sar sufficiente accedere sotto il men Configuration System alla voce Restart Router e spuntare la voce Reset to factory default settings Premere poi il tasto Restart Router Il Router effettuer un reboot e caricher 1 settaggi di default per ulteriori dettagli consultare la sezione 3 6 37 Premendo invece il solo tasto Restart il router effettuer un reboot caricando la configurazione attuale Dopo ogni cambiamento si invita a cliccare sul bottone Save config to Flash per rendere permanente e dunque salvare su eprom il cambiamento 3 8 3 6 User Management E possibile creare differenti utenti che possono accedere alla configurazione del Router Andare nel men Configuration System alla voce User Management apparir la schermata sottostante User Management Rarrently Defined Users Va
30. Dynamic DNS e aumentare il campo Period in modo rispettare le politiche 3 8 7 3 Check Emails Questa funzionalit permette al Router di controllare se nell account di posta preconfigurato arrivata una nuova mail In caso affermativo accender il LED mail In questo modo semplicemente guardando il Router potrete sapere se vi sono state inviate nuove mail Check Emails Enable Disable Account Name Password POPS Mail Server Interval ED entities Automatically diout for checking emails Per la configurazione sufficiente spuntare Enable e configurare l account da controllare scegliere l intervallo di controllo Abilitando la voce Automatically dial out for checking emails il Router in caso di connessioni PPPoA PPPoE alzera la connessione per controllare l account di posta Prestare particolare attenzione nel caso di abbonamenti di tipo non FLAT 3 8 7 4 Device Management E possibile spostare la porta tramite cui si effettua la configurazione remota del Router bloccare tale possibilit per un determinato periodo di tempo ed ad un preciso indirizzo IP lasciando invece 0 0 0 0 possibile configurare il Router da qualsiasi IP E inoltre possibile Abilitare Disabilitare la funzionalit Universal Plug and Play e stabilire la porta Infine possibile configurare 11 protocollo SNMP Device Management Embedded Web Server HTTP Port lan 80 is default HTTP port Management IP Address 0000
31. In questa appendice vedremo come 1 pacchetti di un servizio possono cambiare Utilizzeremo le seguenti convenzioni e BLU per indicare una INVERSIONE e Utilizzeremo il ROSSO per indicare un CAMBIAMENTO Per cercare di comprendere a fondo come le modifiche che subisce un pacchetto IP immaginiamo di trovarci nelle seguenti condizioni e NAT attivo e PCX della LAN con IP 192 168 1 X e Router con LAN IP 192 168 1 254 Mettiamoci nel caso in cui 11 PCX voglia vedere un sito WEB Vediamo nel dettaglio tutti 1 pacchetti nei vari stadi Vi sono 2 fasi Risoluzione dell URL tale valore potrebbe essere recuperato in qualche cache o fornito da appositi programmi ma per completezza immaginiamo il caso pi comune e costruzione della connessione TCP col sito WEB Il primo pacchetto inviato dal PCX con IP 192 168 1 X verso il server DNS per chiedere la risoluzione dell URL cercato Dienst Rowe IP IP Destinazione ot EPS Pona Destinazione ss Questo pacchetto uscente arriva al Router che essendo abilitato il NAT ne cambia l indirizzo di provenienza mettendovi il suo Pubblico e lo inoltra al server DNS Direzione Pacchetto Router Internet Uscente E IP lato WAN del Router A IP Destinazione IP del Server DNS n e P 91 Arrivato al server DNS il pacchetto torna indietro reindirizzato al Router ricordate ne aveva cambiato prima l IP di provenienza Sono invertiti sia a livello IP 1 campi IP prov con IP de
32. LAN sarebbe la seguente Router Lan IP 192 168 1 254 255 255 255 0 192 168 1 1 255 255 255 0 aes Forniti Tama 192 168 1 2 255 255 255 0 192 168 1 254 Forniti ISP 192 168 1 3 255 255 255 0 192 168 1 154 Forniti ISP 192 168 1 n 255 255 255 0 192 168 1 254 Forniti ISP In questo caso si scelto di mantenere la rete 192 168 1 x e l indirizzo IP per l I Storm ADSL Firewall Router di default E possibile in questo caso abilitare 11 DHCP server del Router per assegnare ulteriori indirizzi IP magari a PC portatili ma bisogna prestare attenzione nello scegliere un pool di indirizzi compatibile in questo caso bisogner settare come IP starting 192 168 1 n 1 dove n 1 lt 254 E comunque possibile cambiare la rete avendo l accortezza di sceglierla tra quelle riservata dallo IANA a tale utilizzo e PC con IP appartenenti ad una classe pubblica in questo caso tutti 1 PC della Lan sono raggiungibili da Internet e l interfaccia Lan del Router ha anch essa un indirizzo IP pubblico Il default gateway dei PC l indirizzo IP della Lan del Router che avr chiaramente 11 NAT disabilitato L interfaccia WAN del Router prender un IP che pu essere pubblico o privato si ottiene per il fornitore del servizio un risparmio di indirizzi IP l ISP fornir comunque l indirizzo del default gateway dell I Storm ADSL Firewall Router assieme alla subnet mask Questo scenario tipico ma non esclusivo con l uso del protocollo
33. MACOS 7 a ie iii 80 RFC 1483 BRIDGE SU MACCHINE WINDOWS 95 98 ME ooccncccnccnnccnoconoconoconoconoconccnnccnoronoconoconoconoss 81 RFC 1483 BRIDGE SU MACCHINE WINDOWS 2000 occooccncccncconccnnccnnccnoconoconoconoconocnnccnnrcnoronoconoconocnness 82 RFC 1483 BRIDGE SU MACCHINE LINUX dd 83 LE PERFORMANCE DEL ROUTER NON SONO BRILLANTI ccccscccssccsccesccsccsscescesccesccesseusseuscesscesceusces 83 COME POSSO ABILITARE LA FUNZIONALIT SPI ieri rece rece a eee eee re iee rece eccone 84 OS TG GP RECAE coda 84 COSTE DIME lin 84 PERCHE IL ROUTER SI CONNETTE AUTOMATICAMENTE ALL ISP v iii iie re cie ricer 85 COSTE UNATTACCO DENTAL OF SERVICE ida ti 85 COOME POSSO IMPEDIRE AD UN GRUPPO DI UTENTI DI ANDARE IN INTERNET eee 86 COSTADOS aLaaa 88 APPENDICE A 59 APPENDICE Bo APPENDICE C APPENDICE D APPENDICE E A02 RA3 MI Luglio 2003 Introduzione Questo manuale stato pensato per un utilizzo avanzato del Router ADSL per questo sono stati trattati con dovizia di particolari una moltitudine di argomenti che potrebbero almeno inizialmente scoraggiare alcuni utenti Per una configurazione rapida comunque disponibile una Guida all Installazione presente sia su CDRom che su supporto cartaceo a corredo del prodotto E inoltre disponibile su CDRom D A02 RA3 Multimedia Guide una guida multimediale una serie di filmati con esempi di configurazione utile per una rapida co
34. MP Dispone di un comodo help in linea che aiuta l utente Supporta inoltre la funzione di management remota Web SNMP Telnet con la quale possibile configurare e gestire il prodotto Grazie all uso della tecnologia DDNS non necessario per la gestione remota che il Router abbia un abbonamento con IP fisso 1 4 Schema di installazione dell I Storm ADSL Firewall Router Seguire 1 seguenti punti per effettuare il cablaggio del dispositivo e Collegare la porta WAN ZINE alla linea telefonica per mezzo del cavo RJ11 in dotazione e L I Storm ADSL Firewall Router pu essere collegato tramite le 4 porte RJ45 LAN nelle seguenti modalit e Direttamente a 4 PC tramite cavi CAT 5 in dotazione o Ad un Hub S witch nella porta UPLINK con il cavo CAT in dotazione e Collegare l alimentatore AC DC 1A 12V alla rete elettrica e all apposito attacco POWER situato nel pannello posteriore e FE possibile collegare l I Storm ADSL Firewall Router ad un PC tramite il cavo RS232 in dotazione tipo DB9 DB9 per configurarlo o effettuare operazioni di ripristino tramite la Console E possibile vedere in figura un esempio di cablaggio di una rete parte sinistra con diversi PC si utilizzato uno Switch Nella parte destra invece tutti 1 PC della piccola LAN sino a 4 sono direttamente collegati al Router E En dl Cam ay Uso dell l Storm ADSL Firewall Router 2 1 Precauzioni nell uso dell I Storm
35. Name Username e Password Attenzione alla configurazione del campo Period 11 Router aggiorna il server DDNS usando come parametro il campo Period olte che ogni volta che riceve dalla sfida PPP un nuovo indirizzo IP nel rispetto delle policy del gestore DDNS 3 Predisporre il PC che deve fungere da Server Web o configuare 1l Router affinch sia gestibile da remoto o configurarlo come server VPN 4 Configurare 1l Virtual Server affinch rigiri sull indirizzo IP del PC di sopra predisposto le connessioni provenienti dall esterno In questo modo ogni utente che voglia connettersi al vostro dominio interrogher 11 server DDNS che gli restituir di volta in volta l indirizzo IP assegnatovi dall ISP Usando la funzionalit di riconnessione disponibile in PPPoA e PPPoE qualora la connessione dovesse cadere 11 Router la rialzer immediatamente In questo modo se il PC resta sempre acceso il server WEB di fatto sempre raggiungibile se si escludono problemi diversi Dynamic DNS Grazie all adozione di questa features possibile registrare un dominio pur se associato ad un IP dinamico Ci sono una moltitudine di server DDNS che offrono gratuitamente questo tipo di servizio Sar sufficiente registrarsi per attivare in maniera gratuita ed immediata il servizio che vi consentir di raggiungere da remoto sempre il Router Potrete in questo modo effettuare facilemte configurazioni da remoto ospitare il vostro sito
36. P contenuto in tutti 1 sistemi operativi Microsoft attualmente in commercio l esempio riporta una configurazione con sistema operativo XP Alla postazione remota verr assegnato un indirizzo IP come se si trattasse di una macchina interna alla rete potr quindi attingere dalle risorse della rete aziendale e condividere a sua volta servizi e risorse La figura che segue riassume quanto detto RETE AZIENDALE PPTP VPN UTENTE REMOTO Per configurare il router per la modalit VPN PPTP Remote Access Dial In necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del menu poi sulla voce VPN e selezionare quindi la voce PPTP Nella parte destra della pagina di configurazione cliccare sulla voce Create e alla successiva schermata su Remote Access Cliccare quindi sul pulsante NEXT per accedere alla pagina PPTP Remote Access Connection 49 Peannaction Name DALIN Type O Dial out Seter P Address or Hostname A een Dial in Private IP Address Assigned to Dialin User 192 1681200 Username usemame Password ET Data Encryption Auto Key Length Auto Mode stateful Idle time o minutes Inserire nel campo Connection Name una nome che identifichi la connessione selezionare Dial In come tipologia di connessione e inserire l IP che verr
37. RFC 1483 o RFC 1577 Come gi accennato possibile che 11 Router ADSL sia collegato per la parte WAN con una punto punto composta da indirizzi IP che possono essere pubblici o privati 23 3 8 2 1 2 Port Settings In questa sezione possibile forzare il tipo di modalit di funzionamento su ognuna delle 4 porte E possibile infatti scegliere usando il combo box tra Auto 10Full Duplex 10Half Duplex 100Full Duplex e 100Half Duplex Potrete scegliere la modalit di funzionamento per ogni porta indipendentemente dalle altre Potete anche sempre per porta allocare la banda disponibile in multipli di 32Kbps In questo modo potrete allocare le corrette risorse evitando che taluni utenti blocchino il lavoro degli altri Per abilitare tale funzionalit sufficiente una volta scelta la porta spuntare il bottone Enable e scegliere il valore cul limitare la porta in questione Port Settin Port Connection Type Auto m Port2 Connection Type Auto vw Porti Connection Type Auto El Port Connection Type Auto Por Rate Limit Disable O Enable 32kbps Port Rate Limit Disable O Enable 32kbps Ports Rate Limit Disable Enable a 32kbps Port4 Rate Limit Disable O Enable 32kbps Pwd TOS priority Control Disable O Enable E inoltre possibile anche abilitare la funzionalita IPV4 TOS priority control Tramite questa caratteristica il Router proc
38. Sharing Connect using Components checked are used by this connection SAW Link IPS Px MetB10S Compatible Transport Proto Y NetBEUI Protocol Install Uninstall Properties A Description Transmission Control Protocal lnternet Protocol The default wide area network protocol that provides communication across diverse interconnected networks Show icon in taskbar when connected 11 di 6 1 Selezionare l opzione Obtain an IP address automatically e successivamente Obtain DNS server address automatically Premere su OK per terminare la configurazione Andare su Start e poi Control Panel Cliccare due volte su Network in Classic View Connections Cliccare due volte su Local Area Connection Internet Protocol TCP TP Properties General fou can get F settings assigned automatically if your network supports this capability Othemvise you need to ask pour network administrator hor the appropriate P settings Use the following IP address IP address Subret mask Default gateway N Obtain ONS server address automatically Use the following DNS server addresses Pretered DMS server Alternate DIS server File Edit View Tools Help Back a Search gt Folders Bak Address Favorites Ji Control Panel A Phone and Power Options Modem 9 Regional and Scanners and Language Cameras Sounds and Spe
39. T 8 Configurazione del PC in Windows 93 95 ME lt xi AA 8 Conjreurazione del PC It Windows NIT O prada 9 Conjreurazione del FC in Windows 2000 RA AAA A AS 10 COMO OZONE del RETA NAWS E A incio 12 CONNECTION GIN DICT CAA lilla 14 3 4 VERIFICA DELLA CONFIGURAZIONE 0cccoscscssccsseecsesssecscveccvoseeveeussccoesvevscteoveeerecsvecdeecdvescveceverecbeewes 15 5 9 CONFIGURAZIONE DEL BROWSER do ee 15 HO DE PL NGGE DE IEE NOW TR arl 16 30A TRCCUDCIO FOSS VOTAN AAA 16 TIO LA COR CLAN CV AN ssaa ES een 16 Sl INFORMAZIONE SULL US iii 17 3 8 CONFIGURAZIONE DEL ROUTER TRAMITE BROWSER ccoccnoccnocnnioconocnnccnnconoronoconoconoconocnaronaronaroniconos 17 ome prow De A IN INTO 19 SCEH od A A II ee eee 20 SN 20 Easter 20 DHC os aaa asda RAR RR a RR EA E OA E 20 WAN SC UIA ES chs lola el dii 21 DNS 21 POEMA A do es 21 Ports Aligi 21 Derne dne e S nananana iaia 21 202 CONFIGURATION piedi ia 21 Arai 21 SRA PP E A LAEE AE OEA A Pen A EA O A N on ener 22 IS2 12 POSE 24 A ee TIE lean 24 olivia 26 LEVI RO EI OO ET TT TI 26 AA ise oe itato 34 OS O LEN li ae iaia 34 rote del A OO 35 SA Remote ACCESS A lio ere 35 E FWA e Upo rad AAA T snncdsouasas loi 36 dA BACK ROSTO AAA 37 IS IRESI ROUE scp asa bu AI A A Bs ON a 37 3 0 3 0 User Management di iia 38 A A iii iii i 38 3 5 4 1 General Secta Packet ds 39 O EZ SO Detecuon asonallnl ei 44 38A MAC Address lt noli cea 46 a or OB Fe DB sk ay anne em een E E E A ee EE AAE E OE 47 O calls PRO
40. WEB o utilizzare il Router come server VPN Ogni qual volta il Router si riconnettera tramite il client incorporato comunicher al server DDNS il nuovo indirizzo IP In questo modo chiunque dall esterno conoscendo l URL sapr l indirizzo IP che in quel momento stato assegnato al Router Vediamo nel dettaglio come effettuare una registrazione con 1l gestore DDNS forse pi famoso Andare nel sito www dyndns org cliccare su Account A DynDNS org Welcome Microsoft Internet Explorer Ta Q niero gt x A O cerca e Preferiti multimedia 4 Ar EA ge Indirizzo A https Aww w dyndns orgy v vai Collegamenti user iE e _ Ba Dyn D NS org Lost Password Sign Up Now News e VV A Welcome Recent News System Status Just got a high speed Internet connection Want to control your own e mail or Router Certification Program domain name Don t want to tell friends about that annoying changing IP address Announced or ISP assigned hostname May 13 2003 Take full control over domains that you own Custom DNS allows you to control DynDNS org Pricing Service Surve an entire domain through an intuitive web based interface Use Secondary DNS if Launched you want to run your own nameserver but take advantage of our redundancy May 08 2003 If you don t own your own domain name you can purchase one directly through us BYnDNS org Offers Domain As a full service registrar we
41. a connessione che si sta creando Inserire Nome Utente e Password forniteci dall ISP e poi cliccare su Avanti Creazione guidata nuova connessione Informazioni sull account Internet i necessario disporre di un nome account e di una password per accedere all account Internet Immettere un nome di account ISF e la relativa password quindi prendere nota di tali informazioni e conservarle in un luogo sicuro Se il nome di account o la password esistenti sono state dimenticate contattare ISP Nome utente Password Conferma password Utilizza questo nome di account e password per la connessione a internet di tutti gli utenti Imposta questa connessione Internet come predefinita Abilita il firewall della connessione Internet per questa connessione Cliccare poi su Fine per terminare la connessione A questo punto cliccando sulla nuova connessione potremo navigare in Internet con IP pubblico Resta inteso che un solo PC alla volta potr navigare con questa particolare modalit Mac OS X al pari di Windows XP incorpora gi il client PPPoE Si rimanda al Capitolo4 per dettagli sulla configurazione Per sistemi con Mac OS 9 invece necessario utilizzare un client PPPoE di terze parti si rimanda sempre al Capitolo4 per ulteriori informazioni Windows 95 98 ME 2000 ed NT4 0 contrariamente a Windows XP non incorporano il client PPPoE Si rimanda al Capitolo4 per ulteriori informazioni e PPPoA Ro
42. a garanzia Sono 69 disponibili gli UPS Atlantis Land della linea Server A03 Sxx o Personal A03 Pxx che dispongono di filtri integrati ideali per la protezioni degli apparati esposti alle scariche provenienti dalla linea telefonica Lanciare il software Upgrade Tool presente nella cartella Recovery del CDRom D A02 RA3 Recovery Vi apparir l immagine di sotto Upgrade Tool v2 01b Find Storm ADSL Router with Firewall amp VPN Built in IF Address 192 168 1 254 MAC Address 00 04 E0 04 08 00 Login Password Device 192 1681254 00 04 ED 04 08 0C Firmware Upen Upgrade N Exit Premere Alt F vi apparira la seguente immagine 5 Function Setting Device Finder o C Device Restore le Emergency Co Without AS232 le With AS232 COM f Upgrade Firmware Hote Please select function that you want to do Spuntate come da figura Emergency e poi With RS232 COM1 Premete poi OK A questo punto seguite le istruzioni a schermo e Spegnete il dispositivo e Accertatevi del collegamento tramite la COMI e Inserite Username e Password e Tramite Open selezionate il percorso del firmware un file con estensione AHE e Cliccate su Emergency ed accendete il Router Partir la procedura di ripristino forzato che vi permetter di riutilizzare il Router 3 10 Console e o Telnet E possibile configurare 11 Router ADSL sia tramite Telnet username admin e la password atlantis ch
43. acchina con MacOS9 Come posso fare Il MacPoet un software PPPoverEthernet compatibile con tutti 1 MacOS dal 7 0 Una volta scaricato 1l file faremo partire l installazione che del tutto automatica una volta conclusa dal men mela andremo in TCP IP a controllare che nel campo Connetti Via ci sia selezionato Ethernet Built in fatto ci clicchiamo sull icona del MacPoeT presente nella cartella sull hard disk dove stato Installato 11 software Si aprir una finestra in cui baster inserire username e password forniti dal provider e cliccare su Connect Per lanciare la connessione appena aperto MacPoet ci baster mettere la spunta su Connect at Startup RFC 1483 Bridge su MAC OS X Avendo un abbonamento di tipo PPPoE voglio utilizzare il Router in modalit RFC 1483 Bridge con una macchina con MAC OS X Come posso fare Al pari di Windows XP della Microsoft 11 MacOSX ha un interessantissima potenzialit che consente di creare una connessione ad Internet mediante protocollo PPP over Ethernet senza la necessit di dover installare componenti esterni al SO stesso La configurazione della connessione molto semplice ed immediata Innanzitutto dal men mela Preferenze di sistema Nella cartella Preferenze di sistema clicchiamo su Network Nella finestra Network alla voce Configura selezioniamo ETHERNET INTEGRATA poi cliccando su PPPoE inseriamo 1 dati forniti dal Provider Se necessario clicc
44. address In questo modo avendo sempre 1 medesimi indirizzi IP potremo operare correttamente si ricorda che invece se fossero client DHCP l indirizzo IP potrebbe mutare L idea da seguire sono le seguenti Utenti appartenenti al gruppo A saranno filtrati ed Utenti appartenenti al gruppo B avranno invece accesso senza alcuna limitazione a tutti 1 servizi internet compatibili con il livello di sicurezza impostato Per ottenere questo sceglieremo creeremo nel firewall dell I Storm il livello di sicurezza opportuno tutta una serie di regole che consentiranno il passaggio del servizi ritenuti necessari Andremo poi nella sezione racket Filter Address Filter e metteremo gli IP da bloccare Volendo possibile mettere un indirizzo IP e la sua subnet Scelta dei gruppi opzionale per evitare di introdurre tutti gli IP uno per uno E opportuno per evitare errori scrivere gli indirizzi IP in modalit binaria cos come la subnet mask Facciamo un esempio il numere decimale 44 in binario diviene 00101100 il valore pi a sinistra rappresenta 2 elevato alla zero il secondo 2 elevato alla 1 In questo esempio avremo 2 elevato alla seconda cui sommare due elevato alla 3 pi due elevato alla 5 La subnet mask 248 11111000 Quindi mettere come IP 192 168 1 44 e subnet mask 255 255 255 248 significa indicare in binario tutti quegli IP che cambiano nei soli ultimi 3 bit 000 001 111 Quando infatti la subnet mask ha valore 1 255 in decimale
45. an locale Nella sezione Remote inserire l indirizzo IP pubblico del router remoto nel campo Secure Gateway Address selezionare la voce Subnet e inserire indirizzo di rete e netmask della lan remota La sezione Proposal contiene le informazioni relative alla modalit di crittazione selezionare quindi la tipologia desiderata ed inserire una stringa numerica alfabetica o alfanumerica nel campo Pre shared Key E necessario che la sezione Proposal contenga le medesime informazione in entrambi i router Cliccare sul pulsante Apply per confermare 1 valori impostati e salvarle cliccando sulla voce del men Save config to flash seguito dal pulsante Save ROUTER 2 Per configurare il router per la modalit VPN IPSec necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del men poi sulla voce VPN e selezionare quindi la voce IPSec Nella parte destra della pagina di configurazione cliccare sulla voce Create e poi sul pulsante Apply 59 Mame PSEC ocal NetWork O Single Address IP Address Subnet IP Address 192 168 2 0 Netmask 255 255 255 0 OIP Range IP Address End IF Remote secure Gateway Address or Hostname ga 121 1 37 Met ork Single Address IP Address Subnet IP Address 192 168 1 0 Netmask 255 255 255 0 OP Range IP Address end IP Proposal ESP O AH Authentication MDS vw Authentication MDS Encryption AES A Prefect Forward Secrecy Mone e Pre sha
46. ando su TCP IP potremo inserire 1 DNS del nostro Provider A questo punto clicchiamo su Registra per salvare le modifiche La nostra connessione in PPPoE stata creata Per lanciare la connessione sar sufficiente andare dal men VAI nella cartella Applicazioni Qui clicchiamo su Internet Connect selezioniamo di nuovo alla voce Configurazione Ethernet Integrata e clicchiamo su COLLEGAMENTO per connetterci ad Internet cliccheremo sulla voce RFC 1483 Bridge su macchine Windows 95 98 ME Avendo un E possibile usare un qualunque software Enthernet Win abbonamento di tipo POET RasPPPoE Alleghiamo le istruzioni per PPPoE voglio utilizzare RasPPPoE freeware il Router in modalit Scompattare il file RASPPPOE ZIP in una cartella RFC 1483 Bridge con prendetene nota una macchina con Doppio click sull icona pannello di controllo e poi doppio Windows 95 98 ME click su rete Come posso fare Selezionare la voce aggiungi poi scegliere protocollo e cliccare su aggiungi Selezionare a questo punto Disco Driver Selezionare la cartella dove precedentemente sono stati scompattati 1 driver e quindi scegliere uno qualsiasi dei 3 file inf A questo punto potremo cliccare su OK e far riavviare la macchina Al riavvio sar necessario creare la connessione remota A tal fine seguire 1 seguenti passaggi Aprire la cartella C Windows System e cliccare due volte sul file raspppoe exe Apparir una schermata n
47. antecedente al VS Firewall o DMZ Firewall e VS non operi in conformit Settare il PC che funge da Server con un indirizzo IP privato fisso o usare la modalit Fixed Host nel DHCP Non funziona correttamente un applicazione Internet Problema Azioni correttive Il Router tramite 11 NAT e o il firewall protegge la LAN isolandola dall esterno e rifiutando tutti 1 tentativi di connessione generati dall esterno In Internet ogni servizio Alcune applicazioni quando il Router fa NAT oppure attivo il l firewall potrebbero non associato ad una porta Queste porte potrebbero essere chiuse es per evitare che malintenzionati possano accedere alla LAN propriamente Tuttavia puo essere necessario per il funzionamento di determinate applicazioni ad esempio NetMeeting che 1 tentativi di connessione generati dall esterno su determinate porte siano rigirati ad un PC della LAN su cui il programma in questione sia in ascolto Consultare la sezione Virtual Server per avere maggiori dettagli Le applicazioni che tipicamente dovranno essere configurate sono Alcuni Programmi di Email Alcuni Giochi Multi Players Alcune Applicazioni Phone Video Conferenza Per trovare le porte da aprire per il corretto funzionamento dell applicazioni solitamente la strada pi breve quella di consultare il sito web del produttore dell applicazione Resta inteso che in questo modo un solo PC della LAN quello su cui saranno gir
48. art version fornisce informazione sul firmwaree installato nel dispositivo Per una piu dettagliata descrizione si rimanda al manuale ATMOS 8 2 di NOTE Virata su cui questo firmware basato Tutte le principali funzionalita sono comunque state implementate nell interfaccia WEB la cui configurazione stata amplamente trattata in questo manuale 73 Troubleshooting Qualora il Router ADSL non funzionasse propriamente prima di rivolgersi all ISP consultare questo capitolo Problemi alla partenza dell I Storm ADSL Router Nessun LED acceso Controllare la connessione tra l alimentatore ed il Router quando si collega il ADSL Accertarsi che il Power Switch posto nel retro sia Router ADSL alla rete premuto Qualora il problema persistesse potrebbe essere un elettrica problema hardware Rivolgersi in questo caso al supporto tecnico di AtlantisLand Ho dimenticato la Password Problema Azioni correttive Qualora abbiate Potete perdendo la configurazione del dispositivo resettarlo dimenticato la password premendo l apposito bottone per almeno 6 secondi posto sul per entrare nell I Storm retro Firewall Router ADSL oppure non ricordate pi VIP che gli avevate assegnato Non riesco ad entrare nel Router via WEB Problema Azioni correttive Pur digitando l IP del Il problema potrebbe essere dovuto o ad un cablaggio errato Router 192 168 1 254 oppure a causa di indirizzo IP d
49. ate le opportune porte potr usare l applicazione in questione Perch nonostante il VS alcune applicazioni non vanno Problema Azioni correttive Ho effettuato la Potrebbe rendersi necessario effettuare una DMZ verso il PC rotazione delle porte col su cui si vuole far girare una particolare applicazione Se ad VS ma l applicazione esempio il PC in questione viene chiamato dall esterno per ancora non va cosa la costruzione di una VPN bisogna necessariamente effettuare posso fare verso il suo IP privato una DMZ Perch nonostante la DMZ alcune applicazioni non vanno Problema Azioni correttive 79 Pur utilizzando la DMZ l applicazione non funziona ancora cosa posso fare Nonostante le caratteristiche del Router alcune applicazioni potrebbero non funzionare perch non trasparenti al NAT nemmeno effettuando una DMZ In questo caso possibile utilizzare il Router in modalit Bridge Cos facendo l indirizzo IP pubblico del Router viene dato al PC che dunque potr far funzionare tutte le applicazioni come se il Router fosse un modem ADSL Anzitutto dovete chiedere al vostro ISP il protocollo PPPoE e poi configurare il Router secondo il protocollo RFC1483 Bridge In questo modo per solo un singolo PC dotato di client PPPoE pu accedere ad Internet RFC 1483 Bridge su MAC OS 9 Avendo un abbonamento di tipo PPPoE voglio utilizzare il Router in modalit RFC 1483 Bridge con una m
50. banda abbia l attaccante Qualora la banda sia maggiore dell attaccato pu saturarlo diversamente pu usare altri host che di fatto amplificano l attacco 2 Attacchi che mirano all esaurimento delle risorse 3 Attacchi contro difetti di programmazione che mirano a sfruttare bug software o hardware 4 Attacchi DoS generici Il Router pu automaticamente accorgersi e bloccare un attacco di tipo DoS Denial of Service se questa funzione attiva Vengono riconosciuti oltre 15 tipi diversi di patterns tra 1 quali IP Spoofing IP with zero length Ping of Death Length gt 65535 Land Attack Same source destination IP address Sync flooding Smurf Attack ICMP Echo with x X X 0 or x x x 255 Snork Attack UDP port loop back TCP NULL scan Back Orifice Scan Net Bus Scan TCP XMAS Scan WinNuke Attack IMAP SYN FIN scan Come posso impedire ad un gruppo di utenti di andare in Internet Come posso impedire ad un gruppo di utenti di andare in Internet mentre altri hanno completo accesso Vi sono 2 possibili alternative Utilizzare 11 MAC Filter per necessario conoscere l indirizzo MAC dei PC in questione o di tutti gli altri cui consentito dipende dal numero dei 2 gruppi Anzitutto necessario assegnare ai PC che si vogliono limitare degli indirizzi IP fissi e disabilitare cos qualora fosse attivo il client DHCP bench potreste utilizzare la funzionalit Fixed Host ma dovreste conoscere 1 vari Mac
51. cavo RS232 fornito alla porta seriale 9 pin del PC Tale connessione opzionale Dopo che il dispositivo acceso premere per effettuare 1l reset o il restore Le operazioni sono le seguenti 0 3 secondi per resettare 11 dispositivo 3 6 secondi nessuna azione 6 secondi o pi effettua un ritorno alle condizioni di default utilizzare per esempio quando si persa la password 1 3 LAN Connettere con un cavo UTP 4 connettori RJ 45 POWER Jack Connettere l alimentatore a questo jack 6 POWER Switch Premere per accendere spegnere 1l Router 2 4 Cablaggio Il problema pi comune quello di un cattivo cablaggio per Ethernet o per la Lan Accertarsi che tutti 1 dispositivi connessi siano accesi usare inoltre 1 Led frontali per avere una diagnosi immediata dello stato del cablaggio Controllare che siano accesi sia il Led Lan che quello ADSL qualora cosi non fosse ricontrollate il cablaggio Potete utilizzare qualunque tipologia di cavi dritti o incrociati per collegare il dispositivo Poich l ADSL ed il normale servizio telefonico si dividono spesso lo stesso filo per trasportare 1 rispettivi segnali necessario al fine di evitare interferenze dannose dividere tramite un apposito filtro 1 2 segnali Tale filtro passa basso permetter di estrarre la porzione di spettro utilizzata dal servizio telefonico impedendo cos che la qualit di questo sia compromessa dalle alte frequenze introdotte dal segnale del
52. configurato il Router di salvare sulla eprom la configurazione cliccando sulla sezione Save Config To FLASH Questo permetter di rendere permanente ogni modifica Apparir a questo punto il Men Principale nella parte sinistra si potr accedere come se si stessero vedendo i links in una homepage a tutte le sezioni e Status e Quick Start e Configuration e Save Config to FLASH e Logout N l Storm ADSL Router with Firewall amp VPN Built in ATLANTIS AND gt Status Status O Quick Start b gt Configuration Host Name home gateway Set Host Name O isa y 3 MER Se rE System Up Time 2 days 19 hours ra Canio to FORSE Current Time Mon 14 Jul 2003 12 00 58 Set Time PE Hardware Version ADSL GE A v1 00 He100 2xx CSP v2 3 Software Version 4 21f a eunas MAC Address 00 04 ED 04 10 61 English Y Romei ET MAN IP Address 192 168 1 1 LAN Settings SubNetmask 255 255 255 0 lira 7 DHCP Server Yes DHCP server settings IA LL A WAN D TcGGGGpcpur xuRk c sissi 001 QS_PPPoA WAN Settings O IN ae TT ___ TT PPP Connection Connection established Connected time so far 01 10 28s IR Address E OO SubNetmask 255 0 0 0 Default Gateway 0 0 0 0 Interface QS_PPPoA _ Primary DNS 193 70 192 25 DNS settings 0 Ports Status I o Port Type Connected Line State Ethernet ethernet Y Ad adsl va Cliccando sulla sezione des
53. corrisponde ad una sequenza di 8 uni in binario il corrispondente bit dell indirizzo IP non deve mutare Cio da 192 168 1 40 sino 192 168 1 47 Se avessimo usato come subnet 252 11111100 avremmo potuto cambiare solo gli ultimi 2 bit pertano avremmo avuto da 192 168 1 44 a 192 168 1 47 Resta inteso che i gruppi per via delle subnet sono solo nei seguenti multipli 2 4 8 16 32 64 128 o 255 Nel caso ad esempio con 3 utenti si pu mettere 192 168 1 1 e mettere subnet 255 255 255 252 in questo modo si settano 1 primi 4 192 168 1 1 192 168 1 2 192 168 1 3 oppure mettendo 255 255 255 248 si arriva sino al 192 168 1 7 Tutti gli altri IP sino 253 non saranno filtrati e potranno essere assegnati ai PC che non hanno limitazioni 87 Cos il DDNS A cosa serve il DDNS Tramite questa funzionalita e possibile registrare un dominio ed associarlo ad un IP dinamico Ogni qual volta il Router si riconnettera tramite il client incorporato comunicher al server DNS il nuovo indirizzo IP Associando tale funzionalit con il Virtual Server possibile ad esempio ospitare un sito WEB sul proprio PC effettuare configurazioni da remoto e utilizzare 11 Router come server VPN I passaggi da seguire sono 1 seguenti l Registrare il proprio dominio ad esempio gratuitamente www dyndns org www zoneedit com L operazione richiedera qualche minuto 2 Configurare il client sull I Storm Router ADSL inserendo 1 campi appropriati Domain
54. dall ISP o per ragioni tecniche la connessione cada Scegliere Connect on Demand se si vuole stabilire una connessione PPPoE solo quando ci sono pacchetti diretti verso Internet User Idle Timeout in minutes Disconnette automaticamente I Storm Router ADSL quando non rileva alcuna attivit di pacchetti verso Internet per un tempo predeterminato Il valore settato a 0 non fa attivare questa funzionalit Premere Apply per rendere operativa la nuova configurazione Terminata la configurazione premere su Save Config to FLASH e poi su Save per rendere 1 settaggi permanenti Dovreste vedere 11 Led PPP prima lampeggiare e poi diventare fisso 11 Led ADSL dovrebbe essere fisso per indicare l allineamento RFC1483 Routed IpoA Routed RFC1577 Le modalit in cui l ISP pu fornire RFC1483 1577 possono essere le seguenti l Un indirizzo IP pubblico statico In questo caso bisogner settare la sezione WAN ISP nella seguente modalit NAT abilitato IP address IP statico pubblico assegnatovi Subnet mask e Default Gateway che sar un IP pubblico vi saranno fornite dal provider Il LAN IP invece in una classe privata e sara il default gateway di tutti 1 PC se non si attiva 1l DHCP Una classe di IP statici con Punto multi Punto pubblica In questo caso bisogner settare la sezione WAN ISP nella seguente modalit Nat disabilitato IP address IP statico pubblico assegnatovi quello della punto punto Subnet mask e Defaul
55. e Passiamo adesso alla configurazione del client nel Router nella sezione DynDNS Configuration Advanced N l Storm ADSL Router with Firewall amp VPN Built in TLANTIS AND E gt Status Dy namic DNS Quick Start V Configuration Enable O Disable E LAN b gt WAN Dynamic DNS www dyndns org dynamic E System F E gt Firewall Domain Name E VPN O Virtual Server ARS V Advanced passini Routing Table am Dynamic DNS Period 39 Davis Check Emails I Device Management Save Config to FLASH Logout Language English Spuntate il bottone Enable Alla voce Dynamic DNS scegliete dalla combo box www dyndns org dynamic Compilate il campo Domain Name inserendo per esteso il dominio registrato e inserite poi Username e Password Impostate il campo Period su 99 Days come da figura Non vi resta che premere su Apply e poi su Save Config to FLASH per rendere permanenti le modifiche Andando sul sito www dyndns org effettuare 11 LogIn ed andare nella sezione Account poi sotto Dynamic DNS al vostro URL potrete controllare che VIP sia stato aggiornato alternativamente potrete effettuare un ping verso il vostro URL Packet Filter Il Router dispone di un sofisticato Packet Filter col quale riesce ad esaminare tutto il traffico che lo attraversa In questo modo possibile conoscendo le caratteristiche dei pacchetti IP associati ai pi comuni servizi effettuare 1 filtraggi in maniera corretta
56. e Username 7 Password Senice name Use the following IP address 0 0 0 0 f0 0 0 0 means Obtain an IP address automatically Authentication ProtocolAuthentication Protocol Chap Auto we PPPoE Connection Always On User Idle Timeout fin minutes T Vediamo 1 parametri da configurare l 10 VPI 8 VCI 35 NAT II NAT consente a pi utenti di accedere ad Internet al costo di un singolo account IP Se gli utenti della LAN dispongono di indirizzi IP pubblici e possono pertanto accedere direttamente ad Internet e fungere da server per determinati servizi tale funzionalita dovrebbe essere disabilitata Username Introdurre l username fornita dal vostro ISP Tale username pu essere composta da massimo 128 caratteri case sensitive alfanumerici Password Introdurre la password fornita dal vostro ISP Tale password pu essere composta da massimo 128 caratteri case sensitive alfanumerici Service Name Alcuni ISP forniscono tale parametro In caso di dubbio lasciate il campo vuoto Use the following IP address lasciare tale parametro con il valore 0 0 0 0 Authentication Protocol Di default Chap Auto Le altre opzioni possibili sono CHAP e PAP in caso di dubbio lasciare il valore di default PPPoE Connection Scegliere Always On se si desidera stabilire una sessione PPPoE nel momento dello starting up Inoltre viene automaticamente ristabilita la connessione PPPoE qualora si venga disconnessi
57. e gli utenti della LAN dispongono di indirizzi IP pubblici e possono pertanto accedere direttamente ad Internet e fungere da server per determinati servizi tale funzionalit dovrebbe essere disabilitata Il Nat inoltre una sorta di primo firewall che migliora la sicurezza della Lan locale Andrebbe usata quando il traffico indirizzato verso Internet una parte di quello che circola nella Lan locale altrimenti tale funzionalit potrebbe degradare leggermente le prestazioni della connessione ad Internet Tale funzionalit coesiste con la funzionalit Virtual Server DMZ e DHCP Il Nat manipola i pacchetti IP uscenti e ne cambia il campo IP provenienza sostituendo il mittente del pacchetto in questo caso l indirizzo IP il PC della Lan che un IP privato non valido in Internet con l IP pubblico dell I Storm ADSL Firewall Router In questo modo tutti 1 pacchetti uscenti dal Router avranno nel campo mittente l indirizzo IP pubblico del Router Quando poi 1 pacchetti torneranno al Router perch sono a lui indirizzati questo in base a tabelle memorizzate provveder al processo contrario e li spedir al PC interessato nella Lan e Encapsulation Method Assicurarsi di usare lo stesso metodo di incapsulamento usato dall ISP LLC SNAP or VC MUX O Qualora si disabilitasse la funzionalit NAT il Virtual Server e VPN saranno disabilitate Passiamo adesso alla configurazione vera e propria dell interfaccia WAN ricordiamo per l
58. e pertanto l ora corretta solo dopo che il collegamento ad Internet attivo E possibile controllare l ora segnata dal Router ADSL accedendo sotto il men Status nel Men principale Cliccare sul tasto Refresh per aggiornare la tabella mostrata 3 8 3 2 Remote Access Attivando tale funzionalit possibile attivare la configurazione remota dell apparato via http 35 Remote Access From this page you may temporarily permit remote administration of this network device Enable Remote Access Allow access for S minutes 3 8 3 3 Firmware Upgrade Firmware Upgrade From this page you may upgrade the system software on your network device Select Update File New Firmware Image Sfoglia Upgrade Per effettuare l upgrade del firmware del Router ADSL necessario anzitutto scaricare dal sito www atlantisland it o www atlantis land com nella sezione opportuna un nuovo firmware se disponibile Aprire il file compresso in una directory Accedere a questo punto sotto il men Configuration e poi System alla voce Firmware Upgrade e premere poi il tasto Sfoglia ed indicare la path dove si messo 1l file del firmware decompresso Premere poi sul tasto Upgrade per terminare l aggiornamento E opportuno non staccare durante la fase di upgrade il Router ADSL dalla presa elettrica Durante la fase di upgrade il Router indicher lo stato di completamento della riscrittura del firmware mostrandovi un indica
59. e applications cannot work after enabling Firewall please check the Packet Filter especially Port Filter rules For example adding TCP 443 outbound allowed will let HTTPS data go through Firewall Firewall Lagging 4 Enable Blocking Log Enable Intrusion Log Apply Anzitutto necessario abilitare 11 Firewall spuntando Enable E possibile scegliere tra 4 possibili selezioni e All blocked User defined non definito nulla Tutto il traffico sia entrante che uscente bloccato L utente deve configurare le proprie regole nella sezione Packet Filter e High Medium Low security level sono definiti tutta una serie di impostazioni preconfigurate modificabili che permettono un uso immediato A seconda del grado di protezione scelto determinati servizi saranno o meno abilitati Selezionando le voci Enable Blocking Log e Enable Intrusion Log possibile avere dei Log dettagliati di ci che il firewall sta facendo E possibile controllare questi Log nella sezione Status Event Log Vediamo nel dettaglio le Impostazioni preconfigurate Come gi detto scegliendo il livello di sicurezza tra High medium e Low non facciamo altro che caricare una matrice di regole di volta in volta meno stringente Application Protocol Port Number Firewall High Firewall Medium Firewall Low FF HTTP S0 TCP 6 80 80 NO YES No YES No YES SMTP 25 TCP 6 25 25 NO YES NO YES NO YES 7070 Si ricorda che tutto il traf
60. e funzionalit Per maggiori dettagli consultare la sezione opportuna WAN Settings Permette il settaggio della connessione Per maggiori dettagli consultare la sezione opportuna DNS E possibile inserire 1 server DNS Sono assolutamente da inserire nel caso di RFC1483 1577 con 1 indirizzo IP dunque NAT abilitato ed il Router che funge da server DHCP verso 1 PC della LAN che sono client In caso di PPPoA PPPoE venfono automaticamente forniti dall ISP Port Status Ethernet Informazioni sull interfaccia Ethernet Port Status A1 E possibile forzare il tipo di modulazione e vedere la velocit della connessione Defined Interfaces E possibile avere tutte le statistiche nonch informazioni sullo stato della connessione 3 8 2 CONFIGURATION In questa sezione del Router possibile effettuare la configurazione di quasi tutti 1 parametri Ciccando sul Men Configuration si apriranno tutti 1 seguenti sottomenu e LAN WAN System Firewall VPN Virtual Server Advanced 3 8 2 1 LAN Questa sezione contiene 1 settaggi per la LAN interna Selezionandola appariranno 3 nuove sottosezioni Ethernet Port Settings e DHCP Server 21 3 8 2 1 1 Ethernet Ethernet Primary IP Address IP Address 192 liga h Lt SubNetmask 955 255 I 255 o Secondary IP Address IP Address p fo ilo fo SubNetmask Io 0 0 Advanced Options Questo l indirizzo IP con cui l I Storm ADSL Firewall Router
61. e l ISP e verificare tali parametri Problemi con l interfaccia LAN Problema Azioni correttive Non posso fare il ping con alcun PC della LAN Controllare 1 LED LAN nel pannello frontale Tale LED dovrebbe essere acceso almeno uno dei 4 Se cos non fosse controllare il cablaggio Verificare nel caso in cui il LED sia acceso che l indirizzo IP e la subnet mask tra il Router ed 1 PC siano consistenti Problemi di Connessione ad un Remote Node oppure ad un ISP Problema Azioni correttive Non riesce a connettersi ad un remote node o ad un ISP Fare riferimento alla sezione 3 8 1 Status per verificare lo stato della linea Verificare Login e Password per la connessione col remote node nel caso di PPPoA PPPoE Controllare l indirizzo IP nel caso di RFC1483 1577 Controllare il tipo di Incapsulamento utilizzato ed 1 valori di VCI VPI in caso di dubbi cancellare la connessione ed utilizzare la procedura di Quick Start Conflitto di indirizzi IP Problema Azioni correttive Il PC visualizza un LA Causa pu essere un reboot del Router ADSL se impostato messaggio che informa COme server DHCP oppure da due o pi PC che hanno lo sul conflitto dell indirizzo stesso Indirizzo E possibile lanciando l utilit winipctfg IP controllare tutti 1 parametri IP Subnet DG ed eventualmente rinnovarli se il PC un client DHCP ed il Router funge da server DHCP L utilit wini
62. e le informazioni contenute Il router A02 RA3 integra due differenti tipologie di VPN in grado di garantire la massima versatilit di utilizzo di tale tecnologia PPTP Il protocollo PPTP stato progettato per consentire comunicazioni autenticate e crittografate tra due host presenta come caratterisiche principali semplicit di installazione e di gestione Il protocollo PPTP Point to Point Tunneling Protocol utilizza una connessione TCP per la gestione del tunnel e frame PPP incapsulati GRE Generic Routing Encapsulation per 1 dati sottoposti a tunneling fornendo la possibilit di crittare e comprimere il payload dei pacchetti Il router A02 RA3 permette utilizzare questo protocollo in due differenti modalita e REMOTE ACCESS permette di avere accesso alla rete locale da una postazione remota tramite un client PPTP software Dial In oppure di accedere ad un server PPTP tramite 1l client contenuto nel router Dial Out e LAN TO LAN permette di mettere in comunicazione due LAN distinte tramite due router creando una VPN basata su protocollo PPTP IPSec L IPSec un insieme di protocolli basati su avanzate tecnologie di crittazione per fornire servizi di autenticazione e confidenzialit tra host che comunicano attraverso una rete pubblica consentendo la creazione di VPN I protocolli principali che costituiscono IPSec sono tre e AH Authentication Header utilizzato per fornire autenticazione e integrit al pacchetti e ESP Encapsulat
63. e ne fa richiesta l indirizzo IP corrispondente al nome del sito e qualora non l avesse la richieder ad altri server DNS di cui conosce l IP Gli indirizzi IP dei DNS sono forniti dall ISP al momento in cui si effettua il LogOn in caso si usi il PPPoA PPPoE o RFC1483 Bridge Se il protocollo RFC 1483 Routed o IpoA RFC 1577 necessario introdurre manualmente gli indirizzi IP dei DNS dell ISP 3 8 3 SYSTEM Ciccando sul men Configuration e si apriranno tutti 1 seguenti sottomenu TimeZone Remote Access Firmware Upgrade Backup Restore Restart Router User Management 3 8 3 1 Time Zone Il Router non ha un orologio al suo interno usa il protocollo SNTP per risolvere tale inconveniente De Time Zone Enable Disable Time Zone List By City O By Time Difference select a Mew Local Time Zone UTCASMT time mMI 01 D00 4msterdam Berlin Bern Rome stockholm vienna sieht SNTP Sanath Aaa OZ ES Automatically adjust clock tor daylight saving changes Resyne Poll Interval 1 minutes Em Anzitutto attivare tale funzionalita spuntando la scelta Enable Per scegliere la zona di appartenenza sara sufficiente selezionare il fuso di appropriato dopo aver scelto By City o Time Difference e scegliere nella combo box un server SNTP Le opzioni di Resync permettono di stabilire l intervallo di tempo di sincronizzazione Premere poi il tasto Apply per endere effettive le scelte E possibile ricever
64. e sempre alta la connessione in PPPoA e PPPoE se tale modalit abilitata 11 Routert ADSL alzer nuovamente la connessione se questa dovesse cadere Consigliamo di non utilizzare VIDLE Time e mantenere il Router su Always ON a meno che non abbiate un abbonamento a tempo attenzione in quel caso a monitorare la connessione che verr rialzata non appena un pacchetto sar indirizzato da un qualsiasi PC verso un indirizzo diverso dalla subnet di appartenenza Fate attenzione nel caso di abbonamenti a tempo anche alla sezione Check Emails Perch il Router si connette automaticamente all ISP Perch il Router si Il Router ADSL genera una connessione quando un PC della connette Lan invia un pacchetto funzione di Dial on Demand automaticamente indirizzato ad un indirizzo IP differente da quello della sua all ISP sue nel caso usaste 1l doppio IP classe di appartenenza che poi la subnet della Lan Questo fenomeno deve essere controllato in caso di abbonamento non Flat Cos un attacco Denial of Service Che caratteristiche ha Lo scopo di attacchi di questo tipo non quello di cogliere un attacco Denial of informazioni particolari dalla vostra rete quanto piuttosto Service renderla inutilizzabile per un certo periodo di tempo Pi precisamente esistono 4 specifici tipologie di attacchi DoS 1 Attacchi che mirano all esaurimento della banda sono realizzabili in due modalit diverse a seconda di quanta
65. e tramite Console Per la configurazione tramite Telnet andare nel prompt dei comandi e digitare telnet lt indirizzo Lan IP gt e premere invio Vediamo adesso la configurazione tramite Hyperterminal Lanciare Hyperterminal o qualsiasi altro programma di emulazione terminale le istruzioni seguenti si riferiscono a hyperterminal In XP ad esempio andare su Start tutti programmi accessori comunicazioni hyperterminal Descrizione della connessione x Connetti a or Nuova connessione eS Storm Router ADSL Immettere un nome e scegliere un icona per la connessione Immettere dettagli per il numero telefonico da comporre Home Storm Router ADSL Paese Indicativo localit Connetti COM w Introdurre il nome da dare alla connessione e premere OK Scegliere la porta COM cui collegato l I Storm ADSL Router Inserire 1 settagli come da figura bit per secondo 9600 Bit di dati 8 Parita Nessuno Bit di Stop 1 controllo di flusso Nessuno 71 Proprieta COM1 Impostazioni della porta 39600 Ww CO Bit per secondo Bit di dati Parit Bit di stop Controllo di flusso Premere su Applica e poi OK Vi troverete a questo punto dopo aver premuto INVIO di fronte alla seguente schermata in cui vi si chiede di introdurre username e password Digitando Console Enable seguito da INVIO passerete in modalit console Dovreste vedere l immagine sotto amp IStorm
66. ech Audio Devices Network Connections G Switch to Category View See Also Printers and Windows Update Faxes ed Help and Support Scheduled Tasks 3 In Local Area Connection Status cliccare Properties 4 Selezionare Internet Protocol TCP IP e cliccare su Properties 4 Local Area Connection Status General Support Connection Status Connected Duration 00 05 34 Speed 100 0 Mbps Activity Recelved Bytes 1 743 Local Area Connection Properties STEEL reee FAF A ce General Authentication Advanced Connect using File and Printer Sharing for Microsoft Networks los Packet Scheduler ee ee Description Transmission Control Protocol nternet Protocol The default Wide area network protocol that provides communication across diverse interconnected networks Show icon in notification area when connected 13 5 Selezionare l opzione Obtain an Mai IP address automatically e successivamente Obtain DNS server address automatically ou can get IF settings assigned automatically if pour network supports this capability Othermise you need to ask your network administrator for the appropriate IP settings General ltemate Configuration 6 Premere su OK per terminare la configurazione 5 Obtain an IP address automatically O Use the following IF address Obtain ONS server address automatically Use the following DNS server addresses
67. el PC inconsistente non ottengo risposta Verificare il cablaggio non dovrebbero esserci problemi nel cosa posso fare caso di connessione diretta tra 11 PC ed il Router in quanto quest ultimo grazie alla funzionalit di autopolarit pu funzionare tanto con cavi dritti che incrociati Potrebbero esserci problemi nel caso si usino Switch A questo punto si pronti per configurare il Router digitando il suo IP che di default 192 168 1 254 Qualora non si riuscisse ancora ad entrare opportuno controllare l indirizzo IP del PC e spostarlo sulla classe 192 168 1 x ad esempio 192 168 1 1 subnet 255 255 255 0 e default gatewy quello del Router 75 Problemi con l interfaccia WAN Problema Azioni correttive Fallisce l inizializzazione della connessione PVC Assicurarsi che il cavo RJ11 sia connesso propriamente alla linea telefonica ed al Router ADSL Il LED ADSL dovrebbe essere acceso fisso Qualora lampeggiasse attendere che smetta la connessione non altrimenti realizzabile Controllare 1 valori di VPI e VCI il tipo di incapsulazione ed il tipo di modulazione valori forniti dall ISP Effettuare 11 Reboot del Router ADSL Andare se s1 in modalit Router in System e poi nella sottosezione System status e qui sotto la sezione WAN controllare lo stato della connessione il bottone deve essere sullo stato DISCONNECT qualora cos non fosse cliccarci sopra Qualora il problema persistesse contattar
68. ella quale necessario selezionare la scheda di rete cui connesso l I Storm a questo punto cliccare una volta su Create a Dial Up connection for the selected Adapter ed infine scegliamo exit Il processo terminato in Accesso Remoto stata creata un icona che baster cliccare per azionare 11 collegamento ad internet RFC 1483 Bridge su macchine Windows 2000 Avendo un E possibile usare un qualunque software Enthernet Win abbonamento di tipo PoET RasPPPoE Alleghiamo le istruzioni per PPPoE voglio utilizzare RasPPPoE freeware il Router in modalit Doppio click sull icona pannello di controllo e poi doppio RFC 1483 Bridge con click su rete e connessione remote Selezionare la voce una macchina con Connessione alla rete locale LAN premere il tasto destro e Windows2000 Come poi propriet Selezionare la voce installa poi scegliere posso fare protocollo e cliccare su aggiungi Selezionare a questo punto Disco Driver ed indicare il percorso C raspppoe dove al solito C l unit Hard Disk e la directory raspppoe contiene 1 file scompattati Vi verr proposto di installare il PPP over Ethernet protocol Rispondere affermativamente alle successive richieste relative alla firma digitale assente Cliccare su chiudi Aprire la cartella C Windows2000 System32 e cliccare due volte sul file raspppoe exe Apparira una schermata nella quale necessario selezionare la scheda di rete cui connesso lI Stor
69. er DHCP assegner al vari client Il valore di default 192 168 1 100 Ending IP Address Introdurre l indirizzo IP finale del pool che il server DHCP assegner ai vari client Il valore di default 192 168 1 199 Default Lease Time Valore che esprime in secondi il tempo di validit dell indirizzo assegnato Maximum Lease Time Valore che esprime in secondi il tempo di validit massimo dell indirizzo assegnato Use Router as DNS Server Se selezionato tutte le richieste DNS saranno inviate al Router ADSL che provveder a reindirizzarle Primary Secondary DNS Server Address Potete introdurre gli indirizzi IP dei server DNS che desiderate questi saranno passati ai vari client Use Router as Default Gateway Se selezionato l indirizzo IP del Router verr dat ai client DHCP come default Gateway Qualora fosse gi presenti nella LAN un server DHCP bisogna disabilitare tale funzionalit nel Router ADSL o nel PC che opera dea server DHCP per evitare possibili conflitti E inoltre disponibile la funzionalit Fixed Host FixedHost Create Name IP Address MAC Address 100 00 00 00 00 00 Maximum Lease Time E possibile infatti selezionare un PC come client DHCP ma fargli assegnare permanentemente sempre lo stesso IP Immettendo infatti l IP che si vuole assegnare e l indirizzo MAC della scheda Ethernet il Router provveder alla funzionalit di cui sopra 25 e DHCP Relay Selezionando questa fu
70. ere da server per determinati servizi 33 tale funzionalit dovrebbe essere disabilitata Se invece l abbonamento prevedeun solo IP pubblico 11 NAT deve essere abilitato Encapsulation Method presente solo in caso di RFC1577 Scegliere 11 metodo di incapsulazione utilizzato dal vostro provider Sono disponibili LLC Bridged VCMux Bridged VCMux Routed LLC Routed LicBridged VeMuxBrndged LicRouted cMkuxFRouted Non vi resta che selezionare la voce Use the following IP address ed introdurre IP Address Introdurre il vostro IP pubblico 2 Netmask Introdurre la Netmask fornitavi dall ISP 3 Gateway Introdurre il Defaukt Gateway del Router Qualora invece questi dati siano forniti dal server dall ISP in maniera automatica potete spuntare la voce Obtain an IP address automatically via DHCP client Premere Apply per rendere operativa la nuova configurazione Terminata la configurazione premere su Save Config to FLASH e poi su Save per rendere 1 settaggi permanenti Il Led PPP rester spento 3 8 2 2 2 DNS Un Domain Name System DNS contiene una tabella di corrispondenze tra nomi di domini ed indirizzi IP pubblici In Internet un certo sito ha un unico nome come www yahoo com ed un indirizzo IP L indirizzo IP difficile da ricordare per assolutamente il modo pi efficiente certamente molto pi del nome Questo compito svolto appunto dal DNS che grazie alla tabella incorporata riesce a fornire al PC ch
71. esenti 10 Virtual Server non preconfigurati come da figura O ie 192 168 11 O tcp SM LI 192168 1 O tcp 1921681 LI tcp l 192 168 1 O lice amp ki 1921681 D teo amp A 192 168 1 D tcp 192168 1 O tcp A 3 192168 1 E flte Ml L 1921681 E sufficiente attivare la riga immettere un nome per facilitare l individuazione successiva scegliere il protocollo ed eventualmente l intervallo di porte Immettere per finire l indirizzo IP del PC della LAN su cui si rigirano le richieste In figura tutti 1 protocolli ruotabili tcp i DMZ E a tutti gli effetti un computer esposto ad Internet un pacchetto in ingresso viene esaminato dal Firewall passa il NAT e passato all indirizzo contenuto nel DMZ se non soddisfa un Virtual Server Enable Application Protocol Port IP Address F OM ALL ALL 192 166 1 _ ze gt ams Qualora l opzione di NAT sia disabilitata nella sezione WAN ISP la funzionalit di Virtual Server non utilizzabile Se sul Router abilitato 11 DHCP bisogna prestare particolare attenzione ad assegnare l indirizzo IP dei Virtual Server per evitare conflitti In questo caso sufficiente assegnare al Virtual Server Tale PC non sar client DHCP ed avr oltre all indirizzo IP la subnet mask il gateway cio l IP privato del Router ADSL ed 1 server DNS un indirizzo IP che sia nella stessa subnet del
72. esser con precedenza 1 pacchetti aventi il valore di TOS selezionati In questo modo potrete dare priorit maggiore ad opportuni servizi ed evitare fastidiosi rallentamenti Questo render pi fruibili particolari servizi Si ricorda che 1 router in Internet ignorano il campo TOS IPv4 TOS priority Control Disable Enable Set hig priority TOS M s Mez Mei Meo Ms Wise Msz Mise Mss ha Wiss Ms Msi Miso Mas Mas Mar Eie Mas Mas Blas He Ma Bar Aa Bae Ms Piss Elss Du Mas EJ32 Ms Miso Mos Mis Mor Me Mos Ma Mos Mo Mma M o Mus Mio Mir Mie His Hi Fi Biz Mii Bio Ma Bi A Mes Ms Mi Ms Bi Mi Po 3 8 2 1 3 DHCP Server Sono disponibili 3 differenti opzioni e Disabile e DHCP Server e DHCP Relay Vediamo nel dettaglio come configurare la sezione DHCP e Disable Selezionare per NON usare il DHCP Server nel Router che dunque non distribuira gli indirizzi IP ai vari clients DHCP In questo caso bisogna assegnare a tutti 1 PC della rete un indirizzo IP diverso per ogni PC la subnet mask DNS e l indirizzo del gateway che salvo casi particolari dovrebbe essere quello dell I Storm ADSL Firewall Router e DHCP Server Selezionare per usare il DHCP Server nel Router che dunque distribuir gli indirizzi IP subnet mask gateway l indirizzo IP del Router e DNS ai vari clients DHCP Appariranno una volta premuto il tasto Next 1 seguenti campi Starting IP Address Introdurre l indirizzo IP di partenza del pool che il serv
73. ettere il computer a una rete privata come una rete aziendale Installare una rete domestica o una piccola rete aziendale Per continuare scegliere Avanti Indietro Avanti gt Annulla Entreremo nel Wizard di Windows XP sar a questo punto sufficiente selezionare la voce Connessione ad Internet e poi cliccare su Avanti Creazione guidata nuova connessione Tipo di connessione di rete Scegliere l operazione da effettuare a 2 Connessione a Internet Consente di connettere il computer a Internet e di esplorare il Web e leggere la posta elettronica Connessione alla rete aziendale Consente di connettere il computer a una rete aziendale mediante connessione remota o VPN e di lavorare da casa da una filiale o da un altra ubicazione O Installazione di una rete domestica o di una piccola rete aziendale Consente di connettere il computer a una rete domestica o a una piccola rete aziendale esistente o di Installare una nuova alin i Installazione di una connessione avanzata Consente di connettere il computer direttamente a un altro computer mediante la porta seriale parallela o a Infrarossi o di impostarlo per consentire la connessione di altri computer AI men successivo scegliere Imposta Connessione Manualmente e cliccare sempre su Avanti Creazione guidata nuova connessione Preparazione La procedura guidata sta preparando la connessione Internet Indicare la modalit di connessione a I
74. feriche Gateway Internet Servizi di rete Per aggiungere o rimuovere un gruppo di componenti selezionare la casella relativa Se la casella ombreggiata mon tutti i componenti del gruppo verranno installati Scegliere Dettagli per vedere componenti a disposizione per il gruppo selezionato Sottocomponenti di Servizi di rete a Client rilevamento e controllo periferiche gateway Internet 0 0 ME LJ i Listener RIP fa Plug and Play universale O 2 Servizi semplici TCP IP Descrizione Consente di Individuare e di controllare hardware e software per la condivisione di connessioni Internet che utilizza Plug and Play universale Spazio totale su disco richiesto Ad 6 MB Spazio disponibile sull unit Bf ME Andando su Risorse di Rete dovreste trovare il nome del campo Set Host Name Ciccandoci sopra entrerete nella configurazione del Router ADSL alla stessa maniera di quando ne digitate 1 IP nell URL di IE Cliccando il tasto destro e poi Propriet avrete accesso ad informazioni supplementari Andando su Pannello di Controllo e poi Connessioni di rete dovreste trovare l icona Connessione Internet Cliccandoci 2 volte vedrete l immagine di sotto 94 Stato di Connessione Internet Generale Gateway Internet Stato Connesso Durata 00 05 32 Velocit 640 0 Kbps Attivit Internet Gateway Internet Computer locale Pacchetti Inviati ud Ricevuti aL Scegliendo propriet e poi impostazioni effettuere
75. fico non contemplato nel set di regole viene scartato E comunque possibile aggiungere o modificare le regole al fine di ottenere un firewall che soddisfi particolari esigenze Per esempio dopo aver scelto il firewall con Impostazione di sicurezza HIGH tra le altre cose il Router non risponder ai Ping provenienti dall esterno n consente lo scaricamento via FTP di file dalla rete Per modificare questa situazione sufficiente accedere alla sezione Configuration Firewall Packet Filter Apparir l immagine sottostante Packet Filter Type Configuration Note extemal Port Filters Address Filters 0 1 By default all protocol types and TCP UDP ports are blocked lt gt 2 Only the listed IP addresses are blocked internal A questo punto cliccare su Address Filters per bloccare determinati IP o Port Filters per entrare nel dettaglio delle regole 41 Port Filters Type Start Port End Port Inbound Outbound TCR al all Block Allow Edit Delete O UDP 53 sale Block Allow Edit Delete TCP 53 53 Block Allow Edit g Delete g TCP 2 Block Block Edit Delete cp 23 23 Block Block Edit 49 Delete 9 tcp 25 25 Block Allow Edit Delete 0 TCP 110 110 Block Allow Edit Delete g TCP 119 119 Block Block Edit Delete g UDP 7070 7070 Block Block Edit 0 Delete O ICMP NA NA Block Allow Edit q Delete g TCP 1720 1720 Block Block Edit
76. h tutto l occorrente gi presente nei sistemi operativi pi recenti di Microsoft 1 2 Contenuto della Confezione Una volta aperta la confezione in cartone dovreste trovare 1 seguenti componenti e I StormADSL Firewall Router e CD ROM contenente il manuale Inglese Italiano e Francese le guide rapide Inglese Italiano e Francese ed il firmware Guida di Quick Start multilingua Inglese Italiano Francese Tedesco e Spagnolo stampata Cavo RJ 11 ADSL Cavo CAT 5 LAN Cavo seriale RS232 DB9 e Alimentatore AC DC 12V DC IA Qualora mancasse uno qualsiasi di questi componenti vi preghiamo di rivolgersi al rivenditore 1 3 Caratteristiche dell I Storm ADSL Firewall Router Caratteristiche offerte dall I Storm ADSL Firewall Router e ADSL Multi Mode Standard Supporta in downstream un tasso di trasmissione fino 8Mbps ed un tasso di trasmissione in upstream sino al024Kbps inoltre soddisfa il Multi Mode standard ANSI T1 413 Issue 2 G dmt G 992 1 G lite G992 2 e Fast Ethernet Switch Grazie allo Switch 4 porte integrato potrete collegare direttamente 4 computer senza bisogno di comprare altri dispositivi Tutte e 4 le porte supportano automaticamente la funzionalit MDI INMDI X pertanto possono funzionare indipendentemente tanto con cavi dritti che incrociati Grazie a questa funzionalit sufficiente collegare 1 dispositivi penser lo Switch ad adeguarsi al tipo di cavo e Band Quota Le 4 porte incorporate possono esse
77. he default wide area network protocol that provides communication across diverse interconnected networks Cancei_ 3 Selezionare l opzione Obtain an IP address from a DHCP server e premere OK Microsoft TCP IP Properties IP Address DNS WINS Address Routing An IP address can be automatically assigned to this network card by a DHCP server IP your network does not have a DHCP server ask pour network administrator for an address and then type it in the space below Adapter y Obtain an IF address from a DHCP server Specify an F address Peddiess SUbHED Ml dphe Neraulbilaatewani Advanced Configurazione del PC in Windows 2000 1 Andare su Start Settings Control Panel Cliccare due volte su Network and Dial up Connections 2 Cliccare due volte su Local Area Connection IEJ Network and Dial up Connections E JE ini x Address ga Network and Dial up Connections Go 3 ci e PA Local Area Connection Connection up Connections Local Area Connection Type LAN Connection Status Fnabled x 3 In Local Area Connection Status SJA EE a ito ee al cliccare Properties General Connection Status Connected Duration 05 54 27 Speed 10 0 Mbpz Activity Sent a Recelved L ath Packets 300 138 4 Selezionare Internet Protocol CAE ani yeni ee a xj TCP IP e cliccare su Properties General
78. he tutta una serie di caratteristiche proprie che lo rendono adatto a garantire la sicurezza della Lan Pu inoltre essere configurato per impedire ad utenti interni della Lan di accedere ad Internet Il prodotto fornisce tre livelli di sicurezza Anzitutto maschera l indirizzo IP dell utente della Lan rendendolo invisibile agli utenti di Internet rendendo in tal modo molto pi difficoltoso per un hacker di localizzare il PC nella Lan Pu inoltre bloccare e fare il redirect di alcune porte per limitare 1 servizi cul utenti esterni possono accedere A titolo di esempio per assicurarsi che alcuni giochi o altre applicazioni possano funzionare correttamente possibile aprire alcune porte specifiche per utenti esterni per consentire l accesso a servizi forniti da PC della Lan Infine l I Storm ADSL Firewall Router pu smascherare e bloccare tutta una serie di Hacker Patterns non consentendo cos all hacker di accedere alla Lan inoltre conserver tutti questi attacchi rilevati come qualunque pacchetto intercettato dal firewall in una opportuna tabella che potr essere poi consultata Il servizio DHCP integrato client e server consentendo sino ad un massimo di 253 ai PC della Lan di ricevere il loro indirizzo IP privato dinamico all accensione in maniera del tutto automatica E sufficiente settare 11 PC come client DHCP e L I Storm ADSL Firewall Router provveder a passargli tutte le informazioni necessarie ind
79. i tempo stabilito e Scan Attack Block Duration una volta determinato un attacco di tipo Scan il router blocca il traffico dall host esterno 11 cui IP stato inserito nella blacklist per un intervallo di tempo stabilito e Maximum TCP Open Handshaking Count stabilisce 11 massimo numero si sessioni TCP aperte in fase di handshaking per secondo Qualora questo numero venga raggiunto il router considera questo come un attacco SYN Flood e Maximum Ping Count stabilisce il massimo numero pacchetti tipo PING per secondo Qualora questo numero venga raggiunto il router considera questo come un attacco ECHO Storm e Maximum ICMP Count stabilisce il massimo numero pacchetti tipo ICMP per secondo Qualora questo numero venga raggiunto il router considera questo come un attacco ICMP Flood Intrusion Detection Enable false Use Blacklist false MR Use Victim Protection ees ww Victim Protection Block Duration 600 i seconde DOS Attack Block Duration eo seconds Scan Attack Block Duration 86400 seconds Maximum TCP Open Handshaking Count free zl per second Maximum Ping Count 45 per second Maximum ICMP Count 100 pet second Apply Clear Blacklist 3 8 4 3 MAC Address Filter Tramite questa funzionalit possibile filtrare ulteriormente il traffico limitando l accesso in base all indirizzo MAC degli apparati di rete Sar possibile bloccare l accesso ad una lista di MAC Address oppure consentire l accesso solo ad una
80. icurarsi che le porte protocolli ruotati non siano bloccati dal Firewall Accedendo alla sezione Configuration Virtual Server avrete accesso alla seguente immagine 61 Enable Application Protocol Port IP Address O FTP TCP 21 192 168 1 O Telnet TCP 23 192 168 1 O SME TCR 25 192 168 1 O HTTP TCP 80 192 168 11 O PoR3 TCP 110 192 168 1 Du NNTP TCR 119 192 168 O NTP UDP 123 192 1681 O HTTPS TCR 443 192 168 O kE UDP 500 1821681 O T120 TCP 1503 192 168 1 DU H323 TCR 1720 192 168 1 O PPTP TCP 1723 1921681 go SIP TCP UDP 5060 192 168 1 Se per esempio 1l server WEB che ricever chiamate sulla porta 80 della LAN ha indirizzo IP privato 192 168 1 2 dovremo editare la regola che consenta questo servizio che verr fatta come in figura HTTP TCP all 192 168 1 2 E chiaro che in questo caso non dovremo utilizzare 11 DHCP client sul PC poiche in tal caso non conosceremo l IP che il server Web potrebbe prendere bench la funzionalit Fixed Host permettere di risolvere questo problema E importante capire che l I Storm ADSL Router esegue in ordine di numerazione crescente le associazioni richieste dai vari Virtual Server e solo alla fine qualora fosse presente rigira il tutto alla DMZ Pertanto se la porta 20 21 mappata su un certo PC della rete tramite Virtual Server il PC il cui indirizzo indicato nel DMZ non potr funzionare come server FTP Sono anche pr
81. iderata si vedr nello spazio della homepage tutti 1 settaggi relativi alla configurazione della sezione scelta oppure si apriranno tutta una serie di sottosezioni tra cui scegliere prima di avere accesso alle configurazione vere e proprie 3 8 1 STATUS In questa sezione del Router possibile visualizzare tutti gli stati del dispositivo ed avere cos un quadro immediato dello stato di funzionamento E altresi possibile utilizzare tale sezione per configurare determinati parametri del dispositivo Cliccando sul Men Status s1 apriranno tutte le seguenti sottosezioni e ARPTable DHCP Table PPTP Status IPSec Status Email Status Event Log Error Log e UpnP PortMap Accedendo a queste sottosezioni avrete un quadro dettagliato sullo stato di funzionamento della relativa funzionalita Nella sezione Event Log vengono mostrate tutte le informazioni relative a tutto quello che riguarda la sicurezza Vengono registrate qui infatti tutte le attivita del firewall Ogni regola soddisfatta viene registrata qui assieme agli attacchi di hacker In questo modo potrete conoscere chi vi ha attaccato VIP e quando e come operano le regole di filtraggio Quando nuove regole vengono applicate alla sezione firewall la sezione viene svuotata Nelle sezioni PPTP e IPSec invece potrete monitorare lo stato relativo alla VPN E importante sottolineare che nessun settaggio potr essere cambiato Cliccando invece su Status vedremo la seguente schermata 19 H
82. ient for Microsoft Networks Elle and Print Sharing Description TCP IP is the protocol pou use to connect to the Internet and wide area networks 3 Cliccare su Properties OF Cancel TCP IP Properties Ei E4 NetBIC IP Address An P address can be automatically assigned to this computer Four network does not automatically assign IP addresses ask your network administrator for am address and then type it in the space below 4 Selezionare l opzione Obtain an IP address automatically dopo aver scelto IP Address Bindings Advanced OHS Configuration Gateway WINS Configuration IP Address 5 Andare su DNS Configuration 6 Selezionare l opzione Disable Bindings Advanced NetBIOS DNS e premere su OK per ONS Configuration A Gateway WIKIS Configuration IP Address terminare la configurazione Host Domani DAS Server Search Order Seas Remove Domain Suffiz Search Orde po Add Remove Cancel Configurazione del PC in Windows NT4 0 1 Andare su Start Settings Control Panel Cliccare per due identific nl pes Gase A i Bin na volte su Network e poi cliccare su Protocols Network Protocols Y NetBEUI Protocol 2 Selezionare TCP IP Protocol e Y NWLink IPX SPX Compatible Transport poi cliccare su Properties YNWLink NetBIOS Add Remove CEroperies gt Update Description Transport Control Protocol Internet Protocol T
83. ing Security Payload fornisce integrit e segretezza e IKE Internet Key Exchange gestisce lo scambio delle chiavi Questi protocolli operano sotto le indicazioni di una SA Security Association ossia una sorta di tabella che contiene le informazioni sugli algoritmi e le chiavi utilizzati per proteggere il traffico che attraversa la VPN Le SA sono unidirezionali ogni host che partecipa alla VPN deve averne una impostata Lo standard IPSec supporta due modalit operative differenti e TRANSPORT MODE L header del pacchetto IP viene lasciato inalterato viene quindi preso in considerazione dagli algoritmi di crittaggio solo il payload del pacchetto stesso Questo garantisce un livello di protezione minima delle informazioni perch possibile scoprire mittente e destinatario dei dati e TUNNELL MODE L intero pacchetto IP viene crittato divenendo a sua volta il payload di un nuovo pacchetto dotato di un nuovo header che conterr nei campi IP sorgente e IP di destinazione gli indirizzi dei due estrmi della VPN ESEMPI DI CONFIGURAZIONE In questa sezione verranno descritti alcuni scenari comuni di implementazioni VPN PPTP IPSec 3 8 5 1 PPTP VPN Remote Access Dial In In questo scenario un utente remoto deve accedere alla rete aziendale utilizzando un PC collegato ad internet per mezzo di un modem Verra quindi configurato un account VPN PPTP Remote Access Dial In utente si connetter al router utilizzando il client VPN PPT
84. irizzo IP netmask DNS default gateway Ogni volta che un PC viene acceso se configurato come client DHCP viene riconosciuto dal Router ADSL che gli assegna un IP privato istantaneamente Per utenti avanzati la funzione di Virtual Service offerta dal prodotto consente la visibilita alla macchina locale con uno specifico server nei confronti di utenti esterni Un ISP fornisce un indirizzo IP che pu essere assegnato al Router ADSL e gli specifici servizi possono essere rediretti ad uno specifico computer della Lan Un server Web pu essere connesso ad internet attraverso il Router ADSL che quando riceve una richiesta di accesso via html rigira 1 pacchetti all IP della Lan su cui il PC che ospita il server Web In questo caso il server Web protetto da ogni tipo di attacchi grazie al lavoro fatto dal firewall dell I Storm ADSL Firewall Router La funzione di Virtual Service inoltre consente di reindirizzare a pi di un PC diversi servizi Per esempio possibile rigirare separatamente servizi diversi a PC diversi che comunque restano protetti dal firewall presente sull I Storm ADSL Firewall Router Grazie inoltre al server VPN PPTP integrato ed al client Dynamic DNS potrete da remoto ed utilizzando un semplice modem chiamare il Router bench non abbia un contratto con IP fisso e costruire con esso una sicura VPN Potrete lavorare pertanto da remoto come se foste nella LAN aziendale senza installare costosi software aggiuntivi poic
85. isola di fatto la propria Lan da Internet La Lan locale se privata deve avere gli indirizzi IP appartenenti ai seguenti blocchi riservati dall ente ANA per reti private CLASSE IP Finale Subnet Mask 10 0 0 0 10 255 255 255 255 0 0 0 B 172 16 0 0 172 31 255 255 255 255 0 0 192 168 0 0 192 168 255 255 255 255 255 0 E chiaramente raccomandato scegliere gli indirizzi della propria Lan appartenenti alla tabella di sopra per ulteriori informazioni fare riferimento all RFC 1597 Scegliendo dei blocchi pubblici potreste avere problemi di mancata visibilit di taluni siti internet Vediamo gli scenari pi comuni e PC con IP appartenenti ad una classe privata il cui default gateway il Router ADSL che fa NAT Pu essere attivo o meno il DHCP il Router prender sull interfaccia WAN un indirizzo IP statico o dinamico ma pubblico ed avr un suo default Gateway che pu essergli dato in automatico o settato a mano su informazione dell ISP Il management del Router pu essere fatto da un qualunque PC collegato ad Internet abilitando l apposita funzione sull I Storm ADSL Firewall Router oppure dai PC della Lan Il collegamento con l ISP pu essere uno qualsiasi tra quelli supportati il default gateway del Router ADSL sar dato automaticamente come 1 DNS in caso di PPPoE e PPPoA dovranno essere inseriti in caso di altri protocolli come RFC1483 1577 In questo caso dunque una possibile configurazione della
86. izzo IP Subnet Default Gateway nel caso di RFC1483 1577 Terminata la configurazione premere su Save Config to FLASH per rendere 1 settaggi permanenti RFC1483 Bridge In questa particolare modalit 1l Router funziona appunto da Bridge e dunque ruota l indirizzo IP pubblico che il provider gli assegna l abbonamente sottoscritto deve essere di tipo PPPoE al client sul PC che lo controlla Quando viene fatto funzionare in modalit bridge molte funzionalit Virtual Server vengono disabilitate Tale funzionalit potrebbe rendersi necessaria per il funzionamento di alcune particolari applicazioni internet WAN connections RFC 1483 bridged Description RFC 1483 bridged mode VPI VICI 135 Encapsulation method LicBridged w Apply E sufficiente inserire il tipo di incapsulamento sceglibile tra LLC e VCMux per terminare la configurazione del router Vediamo adesso la configurazione del client PPPoE su Windows XP le altre piattaforme Microsoft richiedono l installazione di stack PPPoE opzionali quali RasPPPoE Enternet o WinPoET Per creare la connessione basta seguire 1 seguenti passaggi Dal Pannello di Controllo ciccare due volte sull icona Connessioni di Rete Cliccare due volte su Crea Nuova Connessione e poi cliccare su Avanti Creazione guidata nuova connessione Creazione guidata nuova connessione Questa procedura guidata consente di Connettere il computer a Internet Conn
87. l ADSL E necessario pertanto utilizzare un filtro per ogni presa cul attaccato un telefono analogico Esistono opportuni filtri che dispongono di 2 uscite una PSTN ed una ADSL e consentono di utilizzare sulla stessa presa sia un telefono analogico che il Router ADSL Tale filtro non compreso col prodotto e va acquistato separatamente Atlantis Land raccomanda di utilizzare apparati certificati per il tipo di linee e vi consiglia la scelta del codice A01 AFI1 filtro ADSL tripolare con omologazione Telecom Italia Configurazione L I Storm ADSL Firewall Router puo essere configurato col browser Web che dovrebbe essere incluso nel Sistema Operativo o comunque facilmente reperibile in Internet Il prodotto offre un interfaccia molto amichevole per la configurazione 3 1 Prima di iniziare Questa sezione descrive la configurazione richiesta dai singoli PC connessi alla LAN cui connesso il Router ADSL Tutti 1 PC devono avere una scheda di rete Ethernet installata correttamente essere connessi al Router ADSL direttamente o tramite un Hub Switch ed avere il protocollo TCP IP installato e correttamente configurato in modo da ottenere un indirizzo IP tramite 11 DHCP oppure un indirizzo IP che deve stare nella stessa subnet del Router ADSL L indirizzo IP di default 192 168 1 254 e subnet mask 255 255 255 0 Certamente la strada pi semplice per configurare 1 PC quella settarli come client DHCP cui PIP ed altri parametri
88. l solo scopo identificativo e rimangono propriet esclusiva dei loro rispettivi proprietari FCC Questo apparecchio stato testato e risultato appartenente alla Class B digital device in conformit alla Part 15 delle FCC Rules Questi limiti sono pensati per offrire una ragionevole protezione contro dannose interferenze in ambienti di tipo domestico Questo apparecchio genera assorbe e pu irradiare energia sotto forma di frequenze radio se non installato e usato in conformit con le istruzioni Questo pu causare dannose interferenze ad ogni tipo di comunicazione radio Tuttavia questa ipotesi potrebbe verificarsi anche in caso di corretta installazione in particolari situazioni in questo caso rivolgersi a personale qualificato CAPITOLO Lal 1 1 PANORAMICA DELL I STORM ADSL FIREWALL ROUTER Merini eric nie l 2 CONTENUTO DELLA CONFEZIONE aLaaa 2 1 3 CARATTERISTICHE DELL I STORM ADSL FIREWALL ROUTER rire 2 1 4 SCHEMA DI INSTALLAZIONE DELL I STORM ADSL FIREWALL ROUTER ie 4 CAPITOLO 2 5 2 1 PRECAUZIONI NELL USO DELL I STORM ADSL FIREWALL ROUTER ie 5 DD INT Lai 5 Doles PORTE POSTERIOR odina bolutet ed e lbs las delete dol dle 5 EE SS NY Cl eee mee rot eee a A 6 CAPITOLO Bei nico 7 BPR DITNIZTAR E eat 7 3 2 COLLEGARE L I STORM ADSL FIREWALL ROUTER cccecccsccssccsccssccsscesscesscesceescesscesscescoescees 7 0 CONG ROA ZONE DELPC ille Foie a A a O
89. lid User Comment true admin Default admin user Edit Create O E possibile vedere tutti 1 profili abilitati o meno alla configurazione del Router Per creare un nuovo utente premere su Create apparira la schermata sottostante in cui potrete immettere Username e Password e tramite il campo Valid rendere attivo o meno il nuovo utente User Management Create User Details for new user Username Password Valid false Y Comment Qualora non ricordaste la password di accesso possibile riportare il Router alle condizioni iniziali eseguendo la procedura sotto riportata si ricorda che meglio creare un nuovo utente provarne la password e solo adesso cancellare il vecchio utente Dopo che il dispositivo acceso premere per effettuare 1l reset o il restore Le operazioni sono le seguenti e 0 3 secondi per resettare 1l dispositivo ma ne conserva il contenuto salvato sulla eprom e 3 6 secondi nessuna azione e 6 secondi o pi effettua un ritorno alle condizioni di default 3 8 4 Firewall Questa funzionalit offerta dal Router ADSL un firewall che consente una prima valida difesa nei confronti di qualche malintenzionato di cui Internet piena Come gi detto le funzionalit offerte pur essendo varie ed efficaci non sono da ritenersi sicure sempre e comunque Certamente potrebbero essere considerate ampiamente soddisfacenti in molte circostanze ma data la varieta degli attacchi e la
90. listadi MAC Address Per attivare questa funzionalit anzitutto spuntare la voce Enable come da figura scegliere la modalit operativa Allowed per consentire solo al MAC appartenenti alla lista l accesso Blocked per consentire l accesso a tutti esclusi 1 MAC appartenente alla lista MAC Address Filter Enable O Disable For LAN inbound ethernet frames only the following Source MAC Address es are 9 Allowed Blocked MAC Address 100 00 00 00 00 00 3 8 4 4 URL Filter Tramite questa funzionalit possibile filtrare ulteriormente il traffico in uscita limitando tale traffico in base all ora e o giorno ed al tipo di URL Sar possibile bloccare l accesso ad alcuni siti oppure consentire l accesso solo ad una lista opportuna di siti E inoltre possibile impedire l accesso ad alcuni URL che hanno una determinata sequenza di caratteri Per attivare questa funzionalit anzitutto spuntare la voce Enable come da figura URL Filter Enable Disable Always Block O Block from 00m 00 to fooi foo w n Sunday to Sunday Keywords Filtering Vetalls O Ol Domains Filtering Detalls Disable all WEB traffic except for Trusted Domains Enable Blocking Log Scegliendo l opzione Always Block le regole di filtraggio verranno applicate sempre nel caso invece si scelga Block From possibile limitare in base al giorno e all ora l utilizzo dei filtraggi 47 Spuntando la
91. ll con tecnologia NAT Automaticamente scopre e blocca l attacco di tipo Denial of Service DoS attack Supporta inoltre URL Blocking e SPI L attacco dell hacker registrato e conservato in un area protetta Aggiornando il firmware scaricabile dal sito www atlantisland it o www atlantis land com possibile migliorare questa capacit al fine di mantenerla allineata all evolversi della tipologia di attacchi Packet Filtering Non solo filtra i pacchetti in base all indirizzo IP ma anche in base alla porta usata dunque il tipo di pacchetti TCP UDP ICMP Questo pu migliorare le prestazioni nella Lan oltre che a provvedere un controllo di alto livello Sicurezza nei protocolli PPPoA e PPPoE Il Router supporta infatti 1 protocolli PAP Password Authentication Protocol e CHAP Challenge Handshake Authentication Protocol SPI grazie alla funzionalit di Stateful Packet Inspection il Router esamina a fondo ogni pacchetto consentendo il passaggio dei soli pacchetti ritenuti sicuri Questa tecnica consente di evitare gli attacchi di tipo Spoofing Domain Name System DNS relay Un Domain Name System DNS contiene una tabella di corrispondenze tra nomi di domini ed indirizzi IP pubblici In Internet un certo sito ha un unico nome come www yahoo com ed un indirizzo IP L indirizzo IP difficile da ricordare per assolutamente il modo pi efficiente certamente molto pi del nome Questo compito svolto appunto dal DNS che gra
92. lla tabella del sicurity logs non apparterr all attaccante Smurf Attack tenta invece di esaurire l intera banda dell host vittima per fare questo pu a seconda della velocit della sua connessione sfruttare anche delle sottoreti che fungono da amplificatore Infatti l indirizzo di broadcast di queste sottoreti vieni sfruttato e cos tutti gli host di questa sottorete rispondono all Echo Request richiesto dall attaccante che avr sostituito l IP del mittente con quello dell attaccato All attaccato tutti gli host risponderanno col pacchetto di Echo Reply generando un traffico intensissimo L I Storm ADSL Firewall Router filtra 1 pacchetti di Echo Reply in uscita trattandolo come un attacco Ping of Death quest attacco particolare e dalle conseguenze variabili anche a seconda del carico della macchina viene generato creando un pacchetto ICMP di Echo Request fuori standard Il pacchetto IP pu infatti essere lungo dalle spefiche RFC al massimo 65536 bytes di cui 20 sono riservati per l header Entro il Payload vengono inseriti 1 pacchetti di livello superiore in questo caso l ICMP oppure TCP UDP che ha un header lungo 8 bytes La lunghezza massima per il Payload del pacchetto ICMP dunque 65535 20 8 60507 bytes Sebbene un pacchetto del genere sia fuori specifica comunque realizzabile inoltre arriva frammentato alla destinazione l attaccato dove verr ricomposto non verificandolo prima ma a questo punto
93. ltre opzioni possibili sono CHAP e PAP in caso di dubbio lasciare il valore di default PPPoA Connection Scegliere Always On se si desidera stabilire una sessione PPPoA nel momento dello starting up Inoltre viene automaticamente ristabilita la connessione PPPoA qualora si venga disconnessi dall ISP o per ragioni tecniche la connessione cada Scegliere Connect on Demand se si vuole stabilire una connessione PPPoA solo quando ci sono pacchetti diretti verso Internet User Idle Timeout in minutes Disconnette automaticamente I Storm Router ADSL quando non rileva alcuna attivit di pacchetti verso Internet per un tempo predeterminato Il valore settato a 0 non fa attivare questa funzionalit Premere Apply per rendere operativa la nuova configurazione Terminata la configurazione premere su Save Config to FLASH e poi su Save per rendere 1 settaggi permanenti Dovreste vedere il Led PPP prima lampeggiare e poi diventare fisso 11 Led ADSL dovrebbe essere fisso per indicare l allineamento PPPoE Routed 31 PPPoE PPPOA sono connessioni ADSL conosciute come dial up DSL Sono state concepite per integrare servizi a banda larga con un attenzione particolare alla facilit di configurazione L utente pu beneficiare di una grande velocit di accesso senza cambiare l idea di funzionamento condividere lo stesso account con l ISP WAN connections PPPoE routed Description PPPoE Routed e si ENEN YEI Se NAT Enabl
94. m a questo punto cliccare una volta su Create a Dial Up connection for the selected Adapter ed infine scegliamo exit Il processo terminato ed stata creata un icona che baster cliccare per azionare 11 collegamento ad internet RFC 1483 Bridge su macchine LINUX Avendo un Per Linux necessario installare un software chiamato abbonamento di tipo Roaming s Pinguins PPPoE voglio utilizzare il Router in modalit RFC 1483 Bridge con una macchina Linux Come posso fare Le performance del Router non sono brillanti Problema Azioni correttive Le performance in Assicurarsi che il cavo ADSL sia in ogni suo punto ad download o in upload almeno 30cm da qualsiasi alimentatore non sono allineate col Allontanare il Router da qualsiasi apparecchio che possa tipo di contratto offerto generare campi elettromagnetici case con lo chassis aperto dall ISP monitor CRT cellulari ed interferire Qualora non si ottenesse 1l risultato sperato controllare il proprio contratto vedere la banda minima garantita ed eventualmente contattare l ISP Se 1 problemi continuassero contattare l assistenza tecnica di Atlantis Land spa Come posso abilitare la funzionalit SPI Voglio accrescere la Tale funzionalit consente utilizzando hardware del Router sicurezza dle Router di impedire ogni tipo di accesso indesiderato Per abilitarla abilitando sufficiente entrare nel router e configurare la sezione Intrusion fu
95. nfigurazione del dispositivo Per una configurazione rapida installazione e cablaggio configurazione del PC e della connessione ADSL del Router vi invitiamo comunque a leggere nel seguente manuale 1 paragrafi 1 4 2 4 3 3 3 6 7 e 3 8 2 1 1 Panoramica dell I Storm ADSL Firewall Router L I Storm ADSL Firewall Router dispone di una porta per connessione ADSL ad alta velocit e 4 porte Fast Ethernet Supporta in downstream un tasso di trasmissione fino ad 8Mbps e in upstream un tasso di trasmissione sino a 1024Kbps inoltre soddisfa 11 Multi Mode standard ANSI T1 413 Issue 2 G dmt G 992 1 G lite G992 2 Il prodotto supporta 1 protocolli PPPoA RFC 2364 PPP over ATM Adaptation Layer 5 RFC 1483 encapsulation over ATM bridged oppure routed PPP over Ethernet RFC 2516 IPoA RFC1577 e PPTP to PPPoA relaying per stabilire una connessione con l ISP Inoltre incorpora un client PPTP per stabilire una connessione VPN con un server remoto PPTP Il prodotto supporta inoltre VC based ed il LLC based multiplexing Il prodotto la soluzione ideale per connettere un piccolo gruppo di PC ad Internet tramite una connessione veloce ADSL In questo modo molti utenti possono condividere questa connessione ed avere accesso simultaneamente ad Internet Il prodotto inoltre offre un Internet firewall adatto a proteggere la Lan locale da accessi indesiderati Possiede oltre alla funzione di NAT che di per s una sorta di prima difesa anc
96. nternet Scegli da un elenco di provider di servizi Internet ISP Imposta connessione manualmente Per una connessione remota sar necessario disporre di un home di account una password e un numero di telefono per il provider di servizi Internet Per account a banda larga il numero di telefono non necessario O Utilizza il CD fornito dall ISP Alla nuova richiesta selezioniamo la seconda voce Connessione a Banda Larga utilizzando Nome Utente e Password e cliccare su Avanti Creazione guidata nuova connessione Connessione Internet Indicare la modalit di connessione a Internet Connessione tramite modem remoto Connessione mediante modem e normale linea telefonica o ISDN Connessione a banda larga con immissione di nome utente e password Connessione a velocit elevata mediante modem via cavo o linea DSL Questo tipo di connessione pu anche essere definita PPoE Point to Pomt Protocol over Ethernet Connessione a banda larga sempre attiva Connessione a velocit elevata mediante modem via cavo o connessione DSL o LAN sempre attiva e non richiede l immissione di nome utente e password Indichiamo ora il nome dell ISP e poi clicchiamo su Avanti Creazione guidata nuova connessione Home connessione Specificare il nome del servizio che fornisce la connessione Internet Immettere il nome dell ISP nello spazio sottostante Home ISP A02 RAI Il nome immesso sar il nome dell
97. nzionalit SPI Detection del Firewall Con questa funzionalit attiva l inter Lan sara ulteriormente protetta poich ogni pacchetto in transito viene esaminato a fondo e tutti 1 pacchetti di risposta vengono confrontati ed esaminati prima di essere inoltrati di ogni pacchetto viene fatto una sorta di hash particolare che ne certifica l autenticit Nota Bene Alcune applicazioni internet potrebbero non funzionare correttamente con tale funzionalit attivata Cos il DHCP Relay Cos il DHCP Relay Settando questa funzionalit 1l servizio DHCP passa attraverso ed a cosa mi serve il Router I Storm e raggiunge altri server che assegnano alla Lan 1 vari indirizzi IP Se questa funzionalit non fosse disponibile questi PC sarebbero impossibilitati ad accedere al server DHCP Al solito ogni PC che necessit di un indirizzo IP si mette in contatto con un server DHCP in questo caso fuori dalla LAN e da questo riceve IP Subnet DG DNS Questi indirizzi IP sono dinamici nel senso che hanno un tempo di validit Scaduto questo termine il client DHCP ricontattera il server per riottenere un nuovo IP Cos PIDLE Time A cosa serve l IDLE Il router ADSL stacca la connessione se non c traffico sulla Time connessione per un intervallo stabilito espresso in minuti il che significa che nessun pacchetto di alcun genere stato indirizzato dal Router verso Internet E possibile scegliere Always On per mantener
98. nzionalit il servizio DHCP passa attraverso I Storm ADSL Firewall Router e raggiunge altri server che assegnano alla Lan 1 vari indirizzi IP Se questa funzionalit non fosse disponibile questi PC sarebbero impossibilitati ad accedere al server DHCP Al solito ogni PC che necessit di un indirizzo IP si mette in contatto con un server DHCP in questo caso fuori dalla LAN e da questo riceve IP Subnet DG DNS Questi indirizzi IP sono dinamici nel senso che hanno un tempo di validit Scaduto questo termine il client DHCP ricontatter il server per riottenere un nuovo IP DHCP enable relay agent Please enter details tor DHCP relay configuration DHCP Server P Address 3 8 2 2 WAN Questa sezione contiene 1 settaggi per la WAN Selezionandola appariranno 2 nuove sottosezioni e ISP e DNS Vediamo nel dettaglio come configurare la sezione WAN 3 8 2 2 1 ISP Sono disponibili cinque diverse soluzioni per la connessione con l ISP PPPoE PPPoA RFC1483 routed IPoA PPPoE Bridge E necessario conoscere quale protocollo adottato dal vostro provider Vediamo 1 parametri necessari e VPI VCI Consultare il vostro ISP per conoscere 1 valori del Virtual Path Identifier VPI e del Virtual Channel Identifier VCI Il range valido per il VPI va da 0 a 255 e per il VCI da 32 a 65535 I valori di default peril VPI 8 e peril VCI 35 e NAT Il NAT consente a pi utenti di accedere ad Internet al costo di un singolo account IP S
99. o il resto bloccato Tale posizione dovrebbe essere applicata da coloro che possiedono una buona conoscenza di Internet in quanto necessario l 39 creare una regola per ogni servizio che si vuole usare E certamente piu sicura ma richiede una maggiore conoscenza delle problematiche ed una pi lunga preparazione delle regole dei filtri che possono essere moltissimi Una volta realizzate le regole che determinano il modo in cui avviene il filtraggio dei pacchetti IP opportuno verificare la sicurezza del sistema Questo realizzabile in diverse modalit e Sito specializzato In questo caso possibile ottenere un primo risultato visitando il sito http www dslreports com ve ne sono ovviamente moltissimi altri e accedendo alla sezione DSLR Tools ed infine scegliere Port Scan I risultati possibili per ogni porta controllata possono essere 3 open la porta in ascolto e dietro c un servizio che accetta le connessioni closed la porta rifiuta la connessione e non dato sapere se c un servizio dietro stealth la porta non risponde alla richiesta di connessione e PCesternoalla vostra LAN In questo modo potete provare 1 vostri filtri Vediamo nel dettaglio come configurare la sezione General Settings Packet Filter General Settings Firewall Security Disable Enable Firewall Policy All blacked User defined O High security level Medium security level Low security level FS if som
100. o viene riprocessato ed inviato all IP di provenienza piszine Pacheto _ RouerPCtrmrane PUR Pacchetto contenuto Tipo TCP Fora Proveniens 0 TS Abbiamo visto il percorso dei pacchetti e le loro trasformazioni Nell esempio di sopra si sono utilizzati dei parametri C e K Sono dei numeri interi gt 1024 Nei protocolli per porta quali TCP UDP infatti il mittente parla ad una porta di destinazione su cui in ascolto il server ed indica una porta la porta di provenienza appunto dove aspetta la risposta Il pacchetto una volta ricevuto dal server viene rinviato al mittente avendo e sulla porta su cui questo aspetta la risposta A livello IP viene effettuato lo stesso percorso 93 UPnP Grazie alla funzionalita UpnP potrete configurare facilmente tutte quelle applicazioni che hanno problemi nell attraversamento del NAT L utilizzo del NAT Trasversale rendera le applicazioni in grado di autoconfigurarsi automaticamente senza l intervento dell utente Chiunque dunque sar in grado senza conoscere complicati concetti di godere pienamente dei vantaggi del NAT e contemporaneamente utilizzare le pi comuni applicazioni Internet senza il minimo problema Pannello di Controllo poi Installa applicazioni scegliere Installazione Componenti di Windows Selezionare Servizi di Rete e poi cliccare su Dettagli Assicuratevi che siano spuntate le seguenti voci Plug and Play Universale e Client rilevamento e controllo peri
101. oni di Per creare la connessione e terminare la procedura guidata scegliere Fine Coraes Je Amo Verr quindi creata sul desktop un icona che permette di lanciare la connessione PPTP verso il router A02 RA3 cliccare sull icona 53 Connessione a PPIP Remote Access Dial In Ed li a Pe il Salva nome utente e password per gli utenti seguenti Solo utente corrente Qualsiasi utente Inserire Nome Utente e Password precedentemente impostati nella configurazione VPN PPTP del router e cliccare su Connetti Ora 11 PC all interno della LAN aziendale E possibile verificare lo stato della connessione PPTP cliccando sulla voce Status del men e poi sulla voce PPTP Status la figura che segue ne riporta un esempio VPN PPTP for Remote Access Application Name Type Enable Active Session Call Encryption Connected Connected PPTP dialin v v y y encryption enabled mppe 128bits stateful mode Qualora si dovessero verificare problemi durante la creazione della sessione VPN con il router verificare nelle propriet della connessione PPTP sotto la voce Rete che il campo Tipo di VPN sia impostato sul valore PPTP VPN 3 8 5 2 PPTP VPN Remote Access Dial Out In questo scenario gli utenti di una LAN devono accedere ai dati contenuti in un File Server remoto il quale integra un PPTP Server per la trasmissione crittata dei dati alle sedi remote La figura che segue
102. onica Connessione alla rete aziendale Consente di connettere il computer a una rete aziendale mediante connessione remota o PN edi lavorare da casa da una filiale o da un altra ubicazione Installazione di una rete domestica o di una piccola rete aziendale Consente di connettere il computer a una rete domestica o a una piccola rete aziendale esistente o di installare una nuova Installazione di una connessione avanzata Consente di connettere il computer direttamente a un altro computer mediante la porta seriale parallela o a infrarossi o di impostarlo per consentire la connessione di altri computer ino J ven Amala Creazione guidata nuova connessione Connessione di rete Scegliere la modalit di connessione alla rete aziendale Crea la seguente connessione Connessione remota Consente di connettere il computer alla rete mediante un modem e una normale lnea telefonica oppure mediante una linea ISDN Connessione YPN Consente di connettere il computer alla rete mediante una connessione YPN Virtual Private Network su Internet SI Creazione guidata nuova connessione Home connessione Specificare un nome per la connessione alla rete aziendale Immettere un nome perla connessione nella sequente casella Home societ PPTP Remote Access Dial ee Ad esempio possibile immettere il nome della rete aziendale o del server a cul si effettuer la connessione
103. ost Name home gateway Set Host Name O 5ystem Up Time 2 days 19 hours Current Time Mon 14 Jul 2005 12 01 58 set Time 0 Hardware Version ADSL GEA v1 00 Hetiidi CSP v2 3 Software Version Ait MAC Address 00 04 ED 04 10 61 Home URL Atlantis Land LAN IP Address 192 166 1 1 LAN Settings O SubNetmask 255 255 255 0 7 DHCP Server Yes DHCP server settings O WAN OS PPPoA WAN Settings WPIC OD PPP Connection Connection established Connected time so far 01 11 2 s IP Address 151 38 242 142 gt ubMetmask 255 0 0 0 Default Gateway 000 0 Interface Lls PPPoA Primary DNS 193 70 192 25 DNS settings O Pont Status o 7 Port Type Connected Line State Ethernet ethernet w A adsl y Defined Interfaces Lilo VIAN YPES Re 62710 0 Vediamo 1 parametri su cui possiamo agire Set Host Name Host Name Host Name home gateway Apply E possibile scegliere il nome con cui accedere al dispositivo Set Time Serve per la configurazione dell orario Consultare la sezione opportune per maggiori dettagli Lan Settings E possibile configurare l indirizzo IP lato LAN del Router ne pu avere 2 ed 1 protocolli di RIP e Multicast Per maggiori dettagli consultare la sezione opportuna DHCP Server Settings E possibile selezionare la modalit operativa del DHCP Il Router pu essere infatti server DHCP oppure pu effettuare 11 DHCP relay E possibile inoltre disabilitare tal
104. outer pu gestire un numero non infinito di connessioni entranti pertanto per grandi range o centinaia di connessioni cintemporanee potrebbero sorgere problemi Sono allegate tutta una serie di porte notevoli da utilizzarsi per 11 VS ed il Firewall Numero di Porta Protocollo File Transfer Protocol FTP Data 20 tcp FTP Commands 21 tcp 23 tcp Simple Mail Transfer Protocol SMTP Email 25 tcp Domain Name Server DNS 53 tcp and 53 udp Trivial File Transfer Protocol TFTP 69 udp finger 44 tcp 61 udp 443 tcp rlogin rlogin rexec 517 tep and 517 udp 518 tcp and 518 udp 3 8 7 Advanced Sono disponibili le seguenti sottosezion1 e Routing Table e Dynamic DNS e Check Emails e Device Management 3 8 7 1 Routing Table Grazie a tale funzionalit possibile creare delle tabelle di Routing statiche 65 Create Route Destination Metmask via Gateway or Interface EA Cost 1 Destination Introdurre l IP di destinazione Netmask Introdurre la Subnet Gateway Introdurre l IP della macchina che fa Nat sulla classe indirizzata Cost Introdurre il costo in Hop Usualmente 1 Mettere tale valore in funzione del numero di Router che bisogna attraversare per arrivare alla rete desiderata Interface Selezionare il tipo di interfaccia iplan per l interfaccia LAN Nel caso in cui si abbia il Router con la classe LAN 192 168 1 X ed un Router Broadband che effettua NAT
105. pcfg exe disponibile per Win95 98 e ME Per WinNT Win2000 e WinXP utilizzare l utility ipconfig Il Router non riesce ad allinearsi Problema Azioni correttive Il Led ADSL continua a H Router grazie al supporto del protocollo G 994 1 G hs lampeggiare ed il Router riesce a scegliere il tipo di modulazione automaticamente non riesce ad allinearsi Potrebbe rendersi necessario forzare un tipo di modulazione in Cosa posso fare questo caso scegliere quella opportuna glite gdmt multi ansi etc Andare su Status e poi premere su Al ed impostare tremite la combo box di Connect Mode la modulazione pi adatta Cliccare su Save config to Flash e poi su save per rendere permanenti le modifiche Cos il NAT ibi tame Gi Nat significa Network Addsress Traslation traslazione degli NAT indirizzi di rete locale E stato proposto e descritto nell RFC 1631 ed aveva almeno originariamente il compito di permettere uno sfruttamento intensivo degli indirizzi IP Ogni strumento che realizzi 11 NAT composto da una tabella costruita da coppie di indirizzi IP uno della rete privata ed uno pubblico Dunque c una traslazione dagli IP della rete privata a quelli pubblici ed il contrario Il Router I Storm ADSL supporta il NAT pertanto con un opportuna configurazione pi utenti possono accedere ad Internet usando un singolo account e un singolo IP pubblico Il NAT consente a pi utenti di accedere ad Interne
106. portunamente la sezione Firewall del Router affinch non tagli ICMP E possibile condividere ad esempio le risorse dei PC creando un collegamento e mettendo l indirizzo IP privato del PC Su Windows XP cliccare il tasto destro sul Desktop scegliere Nuovo e poi collegamento Vi apparir la schermata sotto riportata Crea collegamento La procedura guidata consente di creare collegamenti ad applicazioni file cartelle e computer locali o in rete oppure ad indirizzi Internet Immettere il percorso per il collegamento W192 168 2 2 Per continuare scegliere Avanti Inserire nel campo vuoto l indirizzo IP di un PC nella LAN remota per poter accedere alle risorse condivise 3 8 6 Virtual Server Il firewall del Router ADSL consente la protezione della LAN locale da parte di accessi indesiderati Pu essere necessario consentire ad utenti esterni l accesso ad un PC specifico della Lan per esempio verso un PC fa da server Web o FTP La funzionalit di Virtual Server consente di reindirizzare un particolare servizio che avviene su una determinata porta si ricorda che Web 80 FTP 20 21 Telnet 23 SMTP 25 POP3 110 DNS 53 ECHO 7 NNTP 119 su un PC della Lan interna E possibile scegliere l intervallo o la singola porta di porte ed il protocollo tra TCP UDP o entrambi che si intende rigirare sull indirizzo IP La sezione Firewall viene prima di quella del Virtual Server ass
107. potrebbe generare un overflow dello stato di alcune variabili Il firewall integrato si accorge di questo tipo di attacco e scarta il pacchetto in questione aggiornando la tabella del security logs Land Attack sfrutta un errore presente in molti Sistemi operativi o Router che quando ricevono un particolare pacchetto 11 cui IP di provenienza uguale a quello di destinazione cio l attaccato di richiesta di connessione tentano di stabilirla ma vanno incontro ai pi diversi blocchi In pratica l attaccato cerca di colloquiare con se stesso L I Storm ADSL Firewall Router elimina tutti 1 pacchetti con questa caratteristica Vediamo come attivare e configurare la funzionalit di Intrusion Detection Enable selezionare True per rendere attiva Intrusion Detection Use Blacklist selezionare True per rendere attiva la Blacklist Se abilitata tutti gli IP di provenienza degli attacchi vengono memorizzati Use Victim Protection selezionare True per utilizzare la funzionalit Victim Protection Il Router protegger gli host interni da attacchi sospetti Victim Protection Duration una volta che il Router stabilisce che un host stato attaccato blocca ogni tipo di accesso all host nel tentativo di proteggerlo per il tempo stabilito 45 e DoS Attack Block Duration dopo che un attacco di tipo DoS stato rilevato il router blocca il traffico dall host esterno 11 cui IP stato inserito nella blacklist per un intervallo d
108. raggiungibilit di alcuni host nella rete Parameter Problem indica che un Router che ha esaminato il pacchetto ha rilevato un qualche problema nell intestazione Redirect usato da un host o un Router per avvisare 1l mittente che 1 pacchetti dovrebbero essere inviati ad un altro indirizzo Source Quench inviato da un Router congestionato al mittente per informarlo dello stato Timestamp e Timestamp Reply simili ai messaggi di Echo ma aggiungono l orario TTL Exceeded il campo TTL sceso a zero dunque il pacchetto stato scartato e ne viene informato il mittente Scegliendo invece All blocked User defined dovrete necessariamente creare un set di regole ex novo infatti con questa selezione tutto il traffico tanto entrante che uscente viene scartato 3 8 4 2 Intrusion Detection Il Router pu automaticamente riconoscere e bloccare un attacco di tipo DoS Denial of Service o Port Scan se la funzione di Intrusion Detection attiva Lo scopo di attacchi appartenenti a questa tipologia non quello di cogliere informazioni particolari dalla vostra rete quanto piuttosto renderla inutilizzabile per un certo periodo di tempo Il Firewall inoltre supporta la funzionalit Blacklist per minimizzare l efficacia degli attacchi La Blacklist vuota nel momento dell attivazione del Firewall Quando il router si accorge di essere stato attaccato memorizza nella blacklist l IP da cui proviene l attacco L IP di ogni pacchetto ricevuto dal
109. re indipendentemente configurate per assegnare a ciascuna un determinato troughput massimo E possibile in questo modo limitare la banda di determinati PC ed ottenere cos un uso ottimale delle risorse disponibili e Multi Protocol per stabilire la connessione Supporta PPPoA RFC 2364 PPP over ATM Adaptation Layer 5 RFC 1483 encapsulation over ATM bridged oppure routed PPP over Ethernet RFC 2516 IPoA RFC1577 e PPTP to PPPOA relaying per stabilire la connessione con ISP Il prodotto supporta inoltre VC based ed il LLC based multiplexing e Quick Installation Wizard Grazie al supporto di un interfaccia di configurazione via WEB l apparato risulta essere facilmente configurabile E disponibile inoltre una comodissima Wizard che guida passo passo l utente alla configurazione del Router e Universal Plug and Play UPnP e UPnP NAT Traversale Grazie alla funzionalit UpnP potrete configurare facilmente tutte quelle applicazioni che hanno problemi nell attraversamento del NAT L utilizzo del NAT Trasversale render le applicazioni in grado di autoconfigurarsi automaticamente senza l intervento dell utente Network Address Translation NAT Consente a diversi utenti di accedere alle risorse esterne come Internet simultaneamente attraverso un indirizzo IP singolo Sono inoltre supportate direttamente come web browser ICQ FTP Telnet E mail News Net2phone Ping NetMeeting e altro Firewall Supporta un SOHO firewa
110. red Key 193455789 Inserire nel campo Connection Name una nome che identifichi la connessione Nella sezione Local selezionare la voce Subnet inserire quindi indirizzo di rete e netmask della lan locale Nella sezione Remote inserire l indirizzo IP pubblico del router remoto nel campo Secure Gateway Address selezionare la voce Subnet e inserire indirizzo di rete e netmask della lan remota Selezionare quindi nella sezione Proposal la modalit di crittazione ed inserire una stringa numerica alfabetica o alfanumerica nel campo Pre shared Key E necessario che la sezione Proposal contenga le medesime informazione in entrambi 1 router Cliccare sul pulsante Apply per confermare 1 valori impostati e salvarle cliccando sulla voce del men Save config to flash seguito dal pulsante Save Ora le due reti potranno possono scambiare informazioni crittate E importante che le due LAN appartengano a due subnet differenti la configurazione mostrata sopra utilizza infatti una rete 192 168 1 0 e una 192 168 2 0 E possibile verificare il corretto funzionamento della VPN IPSec cliccando sulla voce Status del men e poi sulla voce IPSec Status la figura che segue riporta un esempio di corretto funzionamento della VPN Dopo qualche minuto se tutto stato fatto correttamente avrete realizzato una VPN in IPSec tra le 2 LAN Per verificare questo provate a pingare da un PC della LAN un PC dell altra settando op
111. rotocollo tutto quello che esce verso Internet e far effettivamente passare solo il traffico ritenuto sicuro MAC Filter rules consente l accesso verso Internet di tutti e soli 1 MAC address desiderati o impedisce l accesso ad una lista URL Filter permette di bloccare l accesso a determinati siti visitare periodicamente il sito di AtlantisLand www atlantisland it o www atlantis land com al fine di reperire l ultimo Firmware che potrebbe migliorare le caratteristiche del firewall 3 8 4 1 General Settings Packet Filter Queste funzioni di filtraggio dei pacchetti IP sono in buona sostanza una serie di regole che il Router ADSL applicher ai pacchetti IP che lo attraversano e stabilir o meno il soddisfacimento di queste regole pacchetto per pacchetto E utile comunque sapere che il solo filtraggio sui pacchetti non elimina 1 problemi legati a livello di applicazioni o altri livelli Le politiche con cui organizzare un filtraggio sono essenzialmente riassumibili in due posizioni Blocco ci che conosco come pericoloso e consento il passaggio del resto Tale posizione dovrebbe essere applicata da coloro che possiedono una discreta conoscenza di Internet Richiede la conoscenza dei pericoli da filtrare opportunamente e consente nella maggior parte dei casi di non imbattersi in decine di applicazioni che hanno problemi perch mal configurate con questa filosofia si blocca solo il pericolo Passa solo quello che ritengo sicur
112. st e sia le porte nel livello UDP Direzione Pacchetto Internet Router Entrante g IP Destinazione IP lato WAN del Router Arrivato al Router il pacchetto viene riprocessato ed inviato all IP di provenienza Direzione Pacchetto Internet Router Entrante g P D P TP Destinazione ERA U Poma Provenza __ A questo punto dal pacchetto UDP arrivato 11 PCX 192 168 1 X ha risolto PURL e conosce l indirizzo IP associato Inizia dunque la fase della costruzione della connessione TCP il protocollo TCP infatti richiede la costruzione della connessione al contrario di quello UDP Ci fermeremo solo fino a che il primo pacchetto non torna al nostro PC Direzione Pacha _ PC Rostetuscene P MP pestinzione PURL r Pora estinzione 0 Questo pacchetto uscente arriva al Router che essendo abilitato 11 NAT ne cambia l indirizzo di provenienza mettendovi il suo Pubblico e lo inoltra al server WEB Direzione Pacchetto Router Internet Uscente o IP lato WAN del Router a P PUR Pra roveniena ES Arrivato al server WEB il pacchetto torna indietro reindirizzato al Router che ne aveva cambiato prima l IP di provenienza Vengono invertiti sia a livello IP 1 campi IP prov con IP dest e sia le porte nel livello TCP AAA Internet Router Entrante o E a E IP IP Destinazione IP lato WAN del Router id Pacchetto contenuto Tipo TCP Por enna IM c Arrivato al Router il pacchett
113. su Apply il comando Edit sar quindi attivato 55 Ora la LAN connessa al File Server remoto possibile verificare lo stato della connessione PPTP cliccando sulla voce Status del menu e poi sulla voce PPTP Status la figura che segue ne riporta un esempio VPN PPTP for Remote Access Application Name Type Enable Active Session Call Encryption Connected Connected PPTP dialout y v v Y encryption enabled mppe 128bits stateful mode e 3 8 5 3 PPTP VPN Lan to Lan In questo scenario due sedi remote verranno connesse tramite una VPN PPTP gli utenti della LAN 1 devo condividere risorse e servizi con la LAN 2 La figura che segue riassume quanto detto LAN 1 LAN 2 PPTP VPN Router 1 Router 2 Lan IP 192 168 1 254 Lan IP 192 168 2 254 Wan IP 69 121 1 31 Wan IP 69 121 1 32 e o Vediamo quindi come configurare 1 due router A02 RA3 per mettere in comunicazione le due sedi e ROUTER 1 Per configurare il router per la modalit VPN PPTP Lan to Lan necessario accedere all interfaccia web di configurazione cliccare sulla voce Configuration del men poi sulla voce VPN e selezionare quindi la voce PPTP Nella parte destra della pagina di configurazione cliccare sulla voce Create e alla successiva schermata su LAN to LAN Cliccare quindi sul pulsante NEXT per accedere alla pagina PPTP Lan to Lan Connection Name LAN to LAN Type Dial out server IP Address for Hostname 69121132 O
114. sulla classe 192 168 2X necessario effettuare la configurazione di una route statica 192 168 1 254 Y 192 168 1 1 Y Broadband Router 192 168 1 200 se 192 168 2 1 D 192 168 1 2 Y W 192 168 2 2 In questo caso nel Router ADSL dovremo indicare che tutti 1 pacchetti diretti alla classe 192 168 2 X andranno indirizzati verso il Router Broadband avente IP 192 168 1 200 Create Route Destination 492 169 2 1 Netmask 255 255 255 0 via Gateway 192 168 1 200 or Interface EJ Cost 1 Abbiamo scelto poi l interfaccia su cui avviene 11 forwarding del pacchetto In questo caso si lasciato come Cost valore 1 poich vi un solo Router fra l I Storm e la classe 192 168 2 X In caso di differenti Router Broadband per restare al caso di sopra necessario indicare il corretto valore nel campo Cost 3 8 7 2 Dynamic DNS Tramite questa funzionalit possibile registrare un dominio ed associarlo ad un IP dinamico Ogni qual volta il Router si riconnetter tramite il client incorporato comunicher al server DNS il nuovo indirizzo IP Associando tale funzionalit con il Virtual Server possibile e Ospitare un sito WEB sul proprio PC e Effettuare configurazioni remote e Accedere tramite VPN PPTP I passaggi da seguire sono 1 seguenti Dynamic DNS Enable Disable Dynamic DMS was dyndns org dynamic Mi Domain Mame atlantisland dyndns org Username atlantis Password A Period
115. t Gateway che sar un IP pubblico vi saranno fornite dal provider Il Lan IP invece sempre un IP statico pubblico e fa parte della classe assegnatavi con la rispettiva subnet mask Gli altri IP di questa classe e la subnet mask dovranno essere messi sui PC assieme al default gateway che sar il LAN IP ed 1 DNS Una classe di IP statici con Punto multi Punto privata In questo caso bisogner settare la sezione WAN ISP nella seguente modalit Nat disabilitato IP address IP privato assegnatovi quello della punto punto Subnet mask e Default Gateway che sar un IP privato vi saranno fornite dal provider Il Lan IP invece sempre un IP statico pubblico e fa parte della classe assegnatavi con la rispettiva subnet mask Gli altri IP di questa classe e la subnet mask dovranno essere messi sui PC assieme al default gateway che sar il LAN IP ed 1 DNS Vediamo 1 parametri da configurare WAN connections RFC 1483 routed Description RFC 1483 routed mode VPI a WEI Gia NAT Enable Encapsulation method LicBridged y Obtain an IP address automatically via DHCP client O Use the following IP address IP Address Metmask Gateway Vediamo 1 parametri da configurare l Las gt VPI 8 VCI 35 NAT II NAT consente a piu utenti di accedere ad Internet al costo di un singolo account IP Se gli utenti della LAN dispongono di indirizzi IP pubblici e possono pertanto accedere direttamente ad Internet e fung
116. t al costo di un singolo account IP Se gli utenti della LAN dispongono di indirizzi IP pubblici e possono pertanto accedere direttamente ad Internet e fungere da server per determinati servizi tale funzionalit dovrebbe essere disabilitata Il Nat inoltre una sorta di primo firewall che migliora la sicurezza della Lan locale Andrebbe usata quando il traffico indirizzato verso Internet una parte di quello che circola nella Lan locale altrimenti tale funzionalit potrebbe degradare leggermente le prestazioni della connessione ad Internet Tale funzionalit coesiste con la funzionalit Virtual Server DMZ e DHCP Il Nat manipola 1 pacchetti IP uscenti e ne cambia il campo IP provenienza sostituendo 1l mittente del pacchetto in questo caso l indirizzo IP il PC della Lan che un IP privato non valido in Internet con VIP pubblico dell I Storm ADSL Router In questo modo tutti 1 pacchetti uscenti dal Router avranno nel campo mittente l indirizzo IP pubblico del Router Quando poi 1 pacchetti torneranno al Router perch sono a lui indirizzati questo in base a tabelle memorizzate provveder al processo contrario e li spedir al PC interessato nella Lan Percorso dei pacchetti Problema Azioni correttive Il Router ADSL I Storm applica ad ogni pacchetto nell ordine Firewall Virtual Server e DMZ Affich il Server funzioni bisogna accertarsi che nessun Non funziona il Server che ho settato su un PC blocco
117. te le configurazioni necessarie all uso dell UpnP Infatti vi baster premere aggiungi per creare una sorta di Virtual Server per l applicazione del caso Impostazioni servizio Descrizione del servizio eet Nome o mdrizza IF ad esempio 192 168 0 12 del computer In cui installato Il servizio a Numero di porta esterna del servizio TCP UDP Numero di porta interna del servizio a Descrizione del Servizio identificativo Nome o Indirizzo IP IP del PC su cui risiede il server Numero di porta esterna del servizio immettere la porta esterna es 80 per http 20 21 per FTP 95 Numero di porta interna del servizio immettere la porta interna Scegliere il protocollo tra UDP o TCP Premendo OK il protocollo UpnP dialoghera col Router Andando sotto la sezione Status e poi UpnP Port Map potrete vedere questi nuovi settaggi UPnP Portmap Name Protocol Start Port End Port IP Address ermbebigdl tcp al al 192 168 1 1 emwebigds tcp all all 192 168 1 1 emwebigd5 tcp 21 e 192 165 1 1 In questa modalit potrete configurare una sorta di Virtual Server da ogni PC senza accedere al Router vero e proprio Alcune applicazioni sono da sole in grado di configurare in maniera autonoma il servizio UpnP Questo render tali applicazioni fruibili da chiunque E necessario configurare l I Storm affinch utilizzi una porta superiore a 1024 Windows XP altrimenti non funzionerebbe correttamente Cara
118. tore percentuale Firmware Upgrade dl Yo Read 19 12400bytes Written 509500 bytes of 1902000 Completata la procedura il RouterADSL si resetter automaticamente e inizier a funzionare col nuovo firmware Tutti 1 settaggi precedenti del Router ADSL dovrebbero essere conservati si invita comunque ad effettuare un salvataggio della configurazione prima di procedere con l upgrade del firmware 3 8 3 4 Backup Restore L I Storm ADSL Firewall Router consente di effettuare un backup ripristino sul dal disco fisso del vostro PC Grazie a questa comoda funzionalit potrete salvare complesse configurazioni e rendere nuovamente operativo il Router in pochi veloci passaggi Configuration Backup Restore This page allows you to backup the configuration settings to your computer or restore configuration from your computer Backup Configuration Backup configuration to your computer Restore Configuration Restore configuration from a previously saved file Configuration File Restore will overwrite the current configuration and restart the device ff you want to keep the current configuration please use Backup first to save current configuration Per effettuare 1l Backup cliccare sul bottone Backup in caso venisse visualizzata una finestra di errore premere su OK e poi ciccare su Here Non vi resta che selezionare il percorso in cui salvare 1 dati sulla configurazione verr generato un file con estensione I
119. tteristiche Tecniche IP NAT PPTP ARP ICMP DHCP server relay e client PPTP client RIP1 2 SNMP SNTP client UpnP Telnet server Porta LAN RJ 45 4 porte 10 100Base T con autonegoziazione e autopolarita A aac ops T1 413 Issue 2 ITU T G 992 1 Full Rate DMT ITU T G 992 2 Lite DMT ITU T G 994 1 Multimode Protocolli ADSL _ RFC2364 PPPoA RFC2516 PPPoE RFC1577 e RFC1483 M AT ATM AALZ AALS and ATM service class CBR UBR VBR rt VBR ATM Forum UNI 3 0 3 1 and 4 0 Firewall Intrusion Detection DoS Port Filters URL blocking MAC blocking Temperatura supportata non in Da 10C a 70C funzionamento E O O O O 5 95 senza condensazione Umidita Operativa 97 Supporto Offerto Qualora dovreste avere dei problemi con l I Storm Firewall Router ADSL consultare questo manuale Molti problemi potrebbero essere risolti cercando la soluzione del problema nel Capitolo 4 Per qualunque altro problema o dubbio prima necessario conoscere tutti i parametri usati dall ISP potete contattare l help desk telefonico 02 93907634 gratuito di Atlantis Land che vi fornir assistenza da luned a venerd dalle 9 00 alle 13 00 e dalle 14 00 alle 18 00 Potete anche utilizzare 1l fax 02 93906161 la posta elettronica info atlantis land com oppure tecnici atlantis land com AtlantisLand spa Via Gandhi 5 Ing2 Scala A 20017 Mazzo di Rho MI Tel 02 93906085 centralino 02 93907634 help desk Fax
120. ungere invece regole nuove possibile cliccare sulle voci opportune sotto la tabella Add TCP Filter 0 Add UDP Filter 0 Add Raw IP Filter O Scegliendo Add TCP Filter possibile aggiungere regole che utilizzino il protocollo TCP Scegliendo Add UDP Filter possibile aggiungere regole che utilizzino il protocollo UDP Scegliendo Add RAW IP Filter possibile aggiungere protocolli Vediamo alcuni protocolli contenuti nel pacchetto IP TCP Transmission Control Protocol Tale protocollo fornisce un servizio di comunicazione basato sulla connessione al contrario dell IP e UDP Tale servizio affidabile Vengono utilizzate le porte di origine e destinazione interi di 16 bit E usato moltissimo specie per Telnet porta 23 FTP porta 20 e 21 http porta 80 SMTP e POP3 porta 25 e 110 UDP User Datagram Protocol Tale protocollo fornisce un servizio di comunicazione non basato sulla connessione come dell IP Tale servizio pi veloce del TCP sebbene meno sicuro Vengono utilizzate le porte di origine e destinazione interi di 16 bit E utilizzato per interrogare 1 DNS ICMP Internet Control Message Protocol Viene usato per notificare al mittente eventuali problemi legati ai datagrammi IP I principali messaggi dell ICMP sono Destination 43 Unreachable l host non raggiungibile e pertanto il pacchetto non sar consegnato Echo Reply ed Echo Request usati per verificare la
121. uted PPPoE PPPoA sono connessioni ADSL conosciute come dial up DSL Sono state concepite per integrare servizi a banda larga con un attenzione particolare alla facilit di configurazione L utente pu beneficiare di una grande velocit di accesso senza cambiare l idea di funzionamento condividere lo stesso account con l ISP WAN connections PPPoA routed Description PPPoA Routed VPI E SALT 135 MAT Enable Y Username Password Use the following IP address 0 0 0 0 0 0 0 0 means Obtain an IP address automatically Authentication Protocol ChapfAuto PPPoA Connection Always On vi User Idle Timeout in minutes y Vediamo 1 parametri da configurare l VPI 8 VCI 35 NAT Il NAT consente a pi utenti di accedere ad Internet al costo di un singolo account IP Se gli utenti della LAN dispongono di indirizzi IP pubblici e possono pertanto accedere direttamente ad Internet e fungere da server per determinati servizi tale funzionalit dovrebbe essere disabilitata Username Introdurre l username fornita dal vostro ISP Tale username pu essere composta da massimo 128 caratteri case sensitive alfanumerici Password Introdurre la password fornita dal vostro ISP Tale password pu essere composta da massimo 128 caratteri case sensitive alfanumerici Use the following IP address lasciare tale parametro con il valore 0 0 0 0 Authentication Protocol Di default Chap Auto Le a
122. zie alla tabella incorporata riesce a fornire al PC che ne fa richiesta l indirizzo IP corrispondente al nome del sito e qualora non l avesse la richieder ad altri server DNS di cui conosce l IP Il Router ricevuto il pacchetto lo rigira al PC che ne ha fatto richiesta Dynamic Domain Name System DDNS Il Client Dynamic DNS vi permette di associare ad un indirizzo IP dinamico che vi viene di volta in volta passato dal server del vostro ISP un nome statico host name E necessario per utilizzare il sevizio effettuare una registrazione gratuita per esempio su http www dyndns org Sono supportati oltre 5 client DDNS Virtual Private Network VPN Permette all utente di creare un tunnel direttamente per garantire connessioni sicure L utente pu usare il server PPTP supportato dall I Storm ADSL Firewall Router per creare una connessione VPN oppure lanciare il client PPTP da un PC remoto e collegarsi col server VPN PPTP del Router Grazie all uso della tecnologia DDNS non necessario che il Router abbia un abbonamento con IP fisso Virtual Private Network VPN Sono inoltre supportate leVPN in IPSec in modalit ESP AH IKE con MDS SH1 DES 3DES ed AES PPP over Ethernet PPPoE Offre il supporto per stabilire connessioni con l ISP che usano il protocollo PPPoE Gli utenti possono avere un accesso ad Internet ad alta velocit di cui condividono lo stesso indirizzo IP pubblico assegnato dall ISP e pagano per un solo
Download Pdf Manuals
Related Search