Accesso remoto#
Credenziali predefinite#
Le credenziali predefinite sono:
Utente:
rootPassword:
Nethesis,1234
Queste credenziali possono essere utilizzate per accedere all’interfaccia web o tramite SSH:
Interfaccia utente web: https://<server_ip>:9090
Porta SSH predefinita: 22
Il nome host predefinito di NethSecurity è: NethSec
Se il client ha ricevuto un indirizzo IP dal DHCP di NethSecurity, utilizzerà NethSecurity sia come gateway che come server DNS. In queste condizioni è possibile contattare NethSecurity utilizzando il suo hostname nethsec invece di server_ip, ad esempio
Questo hostname può essere modificato nella sezione Impostazioni di sistema.
Nota
La password predefinita per l’utente root è Nethesis,1234. Si consiglia di cambiare la password immediatamente dopo il primo accesso.
Reimpostare la password di root#
La root password può essere reimpostata accedendo alla Modalità Failsafe. Una volta in questa modalità, è possibile cambiare la password eseguendo i seguenti comandi.
mount_root
passwd
Riavviare il firewall con il comando
reboot
Interfaccia utente web#
L’interfaccia utente di NethSecurity (User Interface), l’interfaccia web ufficiale di NethSecurity, è disponibile sulla porta 9090 al seguente URL: https://<server_ip>:9090.
Per facilitare l’accesso, l’interfaccia utente di NethSecurity è disponibile anche sulla porta HTTP standard 443 al seguente URL: https://<server_ip> oppure http://<server_fqdn>.
Entrambi gli URL sono accessibili dalla LAN e dalla WAN per impostazione predefinita.
Limitazione dell’accesso all’interfaccia utente di NethSecurity#
Per impostazione predefinita, questa interfaccia è accessibile sulla porta 9090 sia dalla rete interna (LAN) sia da internet (WAN). Sebbene sia conveniente, ciò può potenzialmente rappresentare un rischio per la sicurezza.
Per mitigare questo rischio, sono disponibili due opzioni (rimuovere o limitare l’accesso):
rimuovere la regola
Allow-UI-from-WAN: andare alla pagina delle regole del Firewall, navigare nella schedaRegole di inpute individuare la regola «Allow-UI-from-WAN». Fare clic sul pulsante Elimina per rimuoverlalimitare l’accesso da IP o reti specifiche: nella pagina delle regole del Firewall, individuare la regola «Allow-UI-from-WAN» e fare clic sul pulsante Modifica. Nel campo
Indirizzo sorgente, inserire gli indirizzi IP o i CIDR di rete dai quali si desidera consentire l’accesso all’interfaccia utente di NethSecurity.Ad esempio, per consentire l’accesso solo dalla propria rete domestica, si potrebbe inserire la rete 192.168.1.0/24. Consentire l’accesso solo da indirizzi IP o reti affidabili. Lasciando questo campo vuoto, chiunque su Internet potrà accedere all’interfaccia utente di NethSecurity.
Misure di sicurezza aggiuntive:
utilizzare una password robusta per l’utente amministratore
abilitare l’autenticazione a due fattori (2FA) per l’utente amministratore
mantenere il firewall aggiornato con le ultime patch di sicurezza
Modificare la porta dell’interfaccia utente web#
Gli utenti possono modificare la porta dell’interfaccia utente di NethSecurity.
Per modificare la porta dell’interfaccia utente di NethSecurity da 9090 a 8181, eseguire:
uci set ns-ui.config.nsui_extra_port=8181
uci commit ns-ui && ns-ui
Avvertimento
Il controller utilizza la porta 9090 per comunicare con l’unità. Modificare la porta impedirà al controller di gestire NethSecurity.
Se è ancora necessario inoltrare la porta 9090 a un’altra macchina all’interno della LAN, è possibile mantenere il controller connesso lasciando invariato ns-ui_extra_port e inoltrando la porta verso la nuova macchina. L’inoltro della porta a un’altra macchina sarà accettabile perché il controller raggiungerà la porta 9090 tramite la VPN.
Disabilitare l’interfaccia utente web sulla porta 443#
Sebbene l’esposizione della porta 443 (HTTPS) possa essere necessaria per alcuni servizi, l’accesso diretto all’interfaccia utente di NethSecurity tramite questa porta può rappresentare un potenziale rischio per la sicurezza. Ecco come mantenere in modo sicuro la funzionalità della porta 443 proteggendo al contempo l’interfaccia utente di NethSecurity.
Se non è necessario accedere all’interfaccia utente di NethSecurity tramite la porta 443, disabilitarla per ridurre al minimo le opportunità di attacco. Eseguire i seguenti comandi sul sistema NethServer:
uci set ns-ui.config.nsui_enable=0
uci commit ns-ui && ns-ui
Questa opzione disabilita l’accesso all’interfaccia utente di NethSecurity sia tramite l’indirizzo IP del server che tramite FQDN sulla porta 443.
Se è necessario utilizzare la porta 443 per altri servizi, configurare il firewall per reindirizzare il traffico destinato alla porta 443 a un server web separato che ospita tali servizi. Assicurarsi che questo server separato disponga di solide misure di sicurezza.
Informativa sulla privacy#
In alcuni casi, è necessario visualizzare l’informativa sulla privacy di un prodotto prima dell’accesso. NethSecurity non mostra alcuna informativa sulla privacy per impostazione predefinita, ma è possibile aggiungere un collegamento a un sito web esterno che contiene l’informativa sulla privacy.
Per aggiungere un collegamento all’informativa sulla privacy, accedere alla riga di comando ed eseguire:
URL=https://mysite.org/privacy_policy; sed -i "s|PRIVACY_POLICY_URL\: ''|PRIVACY_POLICY_URL: '$URL'|" /www-ns/branding.js
Sostituire https://mysite.org/privacy_policy con l’URL della propria informativa sulla privacy.
Il link alla privacy policy verrà visualizzato all’interno della pagina di accesso dopo il prossimo aggiornamento della pagina.
Interfaccia utente web legacy#
Avvertimento
Le modifiche effettuate tramite l’interfaccia web LuCI possono compromettere il funzionamento dell’interfaccia ufficiale di NethSecurity. Utilizzare a proprio rischio!
NethSecurity offre anche LuCI, l’interfaccia web originale di OpenWrt, che fornisce un’ampia gamma di opzioni di configurazione ma non è ufficialmente supportata. LuCI è disabilitato per impostazione predefinita. Per abilitarla, eseguire:
uci set ns-ui.config.luci_enable=1
uci commit ns-ui
ns-ui
Una volta abilitato, Luci sarà disponibile solo sulla porta 443 a questo URL: https://<server_ip>/cgi-bin/luci
Le modifiche alle seguenti pagine di LuCI sono note per causare comportamenti imprevedibili:
Scheda accesso HTTP: configura uhttpd che non è presente all’interno di NethSecurity
Scheda Registrazione: configura logd, che non è presente all’interno di NethSecurity.
Rete: la configurazione creata con questa pagina non è compatibile con l’interfaccia utente di NethSecurity
Se precedentemente abilitata, l’interfaccia web LuCI può essere disabilitata eseguendo:
uci set ns-ui.config.luci_enable=0
uci commit ns-ui
ns-ui
Nascondere la versione del server web#
Per impostazione predefinita, il server web nginx che serve l’interfaccia utente di NethSecurity include il proprio numero di versione negli header di risposta HTTP. Molte valutazioni delle vulnerabilità si basano sull’identificazione della versione del software, il che può generare falsi positivi quando le correzioni vengono retroportate senza modificare la versione riportata. Sebbene nascondere le informazioni sulla versione non migliori la sicurezza di per sé, può contribuire a limitare l’esposizione di vulnerabilità note e specifiche della versione agli strumenti di scansione automatizzati.
Per disabilitare la visualizzazione della versione di nginx negli header HTTP dell’interfaccia utente di NethSecurity, eseguire i seguenti comandi:
uci set ns-ui.config.server_tokens='off'
uci commit ns-ui
reload_config
Questa configurazione riguarda solo l’interfaccia utente di NethSecurity. Il reverse proxy ha una propria configurazione separata.
SSH#
Per impostazione predefinita, il sistema accetta connessioni SSH sulla porta standard 22 dalla rete interna (LAN). L’accesso come root è abilitato utilizzando la password predefinita. Per consentire l’accesso SSH da internet (WAN), è necessario aggiungere una regola di input del firewall per la porta di ascolto del server.
Da una macchina Linux, utilizzare il seguente comando:
ssh root@192.168.1.1
Console VGA e layout tastiera#
Se la macchina dispone di una porta video VGA/DVI/HDMI, collegare un monitor ad essa. In questo modo sarà possibile accedere alla console utilizzando le credenziali predefinite sopra indicate.
Si noti che il sistema è configurato con il layout di tastiera US.
Per modificare temporaneamente il layout della tastiera corrente in italiano, accedere al sistema ed eseguire il seguente comando:
loadkmap < /usr/share/keymaps/it.map.bin
La configurazione del layout della tastiera può essere salvata scrivendo il codice della mappa dei tasti all’interno di /etc/keymap. Esempio per la mappa dei tasti it (italiana):
echo 'it' > /etc/keymap
grep -q /etc/keymap /etc/sysupgrade.conf || echo /etc/keymap >> /etc/sysupgrade.conf
Per ottenere l’elenco delle keymap disponibili, eseguire il seguente comando:
ls -1 /usr/share/keymaps/ | cut -d'.' -f1
Console seriale#
Se la macchina dispone di una porta seriale (RS-232, tipicamente disponibile con connettore DE-9 o connettore RJ45/8P8C) è possibile accedere direttamente al firewall tramite essa utilizzando un cavo null-modem e un programma terminale. PuTTY (versione 0.60 o superiore) è una scelta comune se si utilizza Microsoft Windows, mentre le distribuzioni Linux offrono strumenti come minicom, picocom o screen.
I parametri di accesso predefiniti per NethSecurity 8 sono:
Velocità di trasmissione: 115200,
Bit dati: 8
Parità : Nessuna
Bit di stop su 1
Questi ultimi tre parametri sono spesso abbreviati come 8N1
Adattatori USB-Seriale#
In caso di necessità, NethSecurity può essere utilizzato per accedere a un altro server tramite la console seriale. Se l’hardware non dispone di una porta RS-232, è possibile utilizzare adattatori USB-seriale. Per questo motivo, è possibile scaricare e installare i driver per gli adattatori più comuni su NethSecurity. Questi driver sono forniti così come sono e non sono supportati da Nethesis (in caso di utilizzo della versione Enterprise o Subscription).
Sono forniti due pacchetti per l’installazione, che coprono la grande maggioranza degli adattatori disponibili sul mercato.
kmod-usb-serial-cp210x - 5.15.162-1 - Kernel support for Silicon Labs cp210x USB-to-Serial converters
kmod-usb-serial-pl2303 - 5.15.162-1 - Kernel support for Prolific PL2303 USB-to-Serial converters
Per installare il driver Prolific PL2303:
opkg install kmod-usb-serial-pl2303
I log mostreranno un output simile al seguente:
Aug 6 08:08:17 nsec8 kernel: [ 2346.359247] usb 1-6: new full-speed USB device number 3 using xhci_hcd Aug 6 08:08:17 nsec8 kernel: [ 2346.543052] pl2303 1-6:1.0: pl2303 converter detected Aug 6 08:08:17 nsec8 kernel: [ 2346.550401] usb 1-6: pl2303 converter now attached to ttyUSB0
Nota
A partire dalla versione 8.7.2, i pacchetti extra vengono reinstallati automaticamente dopo l’aggiornamento del sistema. Per le versioni precedenti e per ulteriori informazioni, consultare questa documentazione: Ripristinare pacchetti aggiuntivi.