FRITZ!OS 7.20: perché aggiornare?

| |

Ci sono almeno un paio di motivi validi per aggiornare a FRITZ!OS 7.20 disponibile per FRITZ!Box 7590 e per quella nuova serie di prodotti che ancora non sono arrivati sul nostro mercato (ma che spero davvero che arrivino presto!). Si parla di sicurezza a due fattori, DNS over TLS (DoT), WPA3 e altro ancora. Trovi un bel riepilogo grafico sul sito web di AVM all’indirizzo it.avm.de/prodotti/fritzos/fritzos-720.

FRITZ!OS 7.20: perché aggiornare? 1

Controllo di Sicurezza

Accedendo all’interfaccia di amministrazione di FRITZ!OS aggiornato alla versione 7.20 noterai che un piccolo segnale di attenzione comparirà molto probabilmente in alto a destra, sotto le primissime informazioni sul Sistema a bordo del router AVM. Con un clic su “Ulteriori informazioni” ecco che si viene riportati in una nuova schermata ad-hoc, rivista rispetto al passato, che permette di esaminare una lunga lista di valutazioni delle opzioni impostate sul router e su tutti i servizi a esso connessi. Se c’è qualcosa che non torna AVM stavolta te la segnalerà e metterà bene in evidenza affinché tu possa intervenire sanando l’errore / anomalia o per lo meno rendendoti conto di un possibile problema del quale dovrai essere consapevole in caso di rogne future.

Il mio consiglio è chiaramente quello di farti “l’esame di coscienza” e cercare di rimettere a posto ciò che ti viene segnalato, chiedendo aiuto alla comunità nel caso in cui tu non comprenda ciò che ti viene detto.

È certamente la prima novità che salta all’occhio accedendo FRITZ!OS 7.20 ma non è quella più succosa.

WPA3

Ed eccolo qui! WPA3 approda su un hardware che fino a oggi non l’ha mai avuto. Rapida infarinatura:

WPA3™ is the next generation of Wi-Fi security and provides cutting-edge security protocols to the market. Building on the widespread success and adoption of Wi-Fi CERTIFIED WPA2™, WPA3 adds new features to simplify Wi-Fi security, enable more robust authentication, deliver increased cryptographic strength for highly sensitive data markets, and maintain resiliency of mission critical networks. All WPA3 networks:

  • Use the latest security methods
  • Disallow outdated legacy protocols
  • Require use of Protected Management Frames (PMF)

Since Wi-Fi networks differ in usage purpose and security needs, WPA3 includes additional capabilities specifically for personal and enterprise networks. Users of WPA3-Personal receive increased protections from password guessing attempts, while WPA3-Enterprise users can now take advantage of higher grade security protocols for sensitive data networks.

WPA3, which retains interoperability with WPA2™ devices, is a mandatory certification for Wi-Fi CERTIFIED™ devices.

Tutto minuziosamente riportato sulle pagine ufficiali all’indirizzo wi-fi.org/discover-wi-fi/security e che – come si era detto nel 2018 quando è stato presentato – sarebbe diventato uno standard nel corso del 2020. FRITZ!OS 7.20 introduce il passaggio a WPA3 che si rende comunque compatibile con quei dispositivi che usano WPA2 perché non compatibile con i nuovi standard di sicurezza. Puoi quindi modificare il comportamento del FRITZ!Box 7590 sia per ciò che riguarda la rete privata che quella ospiti. Attenzione perché modificando la configurazione i tuoi dispositivi perderanno connessione per il tempo necessario al passaggio sul nuovo protocollo di sicurezza.

Che faccio, lo attivo? Assolutamente sì. Leggi le condizioni di uso minimo che ti compariranno nel popup a video (salterà fuori quando selezionerai dalla lista crittografia il WPA2+WPA3) ma non farti delle remore, tutto continuerà a funzionare almeno in WPA2, i nuovi dispositivi compatibili WPA3 invece comunicheranno con il nuovo protocollo crittografico, in ambo i casi per te la cosa sarà assolutamente trasparente. Ho delle cinesate con chip Broadcom che ho faticato a connettere alla mia rete mista 2,4GHz/5GHz WPA2 che non hanno battuto ciglio nel momento in cui ho dovuto far ristabilire le connessioni dopo essere passato alla coppia d’attacco WPA2+WPA3.

Sul piano pratico ci sono studi che hanno già messo in luce alcune possibili falle del WPA3 ma se pensi che il WPA2 viene utilizzato da più di 10 anni capisci bene anche tu che si tratta di qualcosa di superato e abbondantemente sorpassato (e sì, anche craccato).

L’autenticazione a due fattori

Altro giro, altro importante passo in avanti per questo Sistema. Non si tratta della tradizionale autenticazione a due fattori intesa come blocco di sicurezza da passare all’atto del login. AVM ha scelto una strada diversa. Tu potrai continuare a collegarti al tuo FRITZ!OS effettuando una normale autenticazione fatta da nome utente e password, ciò che cambia arriva nel momento in cui andrai a effettuare delle modifiche alla configurazione che impattano sensibilmente la tua rete di casa o d’ufficio, è in quel momento che tutto verrà tenuto in sospeso fino a quando non andrai a inserire il codice dell’autenticazione a due fattori, quello che può generarti un Google Authenticator, Authy, 1Password o qualsiasi altra applicazione preposta al compito.

L’impostazione non è obbligatoria per gli account amministrativi di FRITZ!OS ma personalmente ti consiglio molto caldamente di andarla ad abilitare. L’operazione consiste in un doppio passaggio che prima riguarda FRITZ!OS e che poi termina nella specifica configurazione del tuo utente. Vai quindi in SistemaUtenti FRITZ!BoxAccesso alla rete locale, qui potrai chiedere a FRITZ!OS di metterti in condizioni di poter utilizzare l’autenticazione a due fattori con ogni utente che lo desidera (e che è autorizzato ovviamente al login sul router):

Per poter abilitare l’autenticazione a due fattori ti sarà richiesto – nel momento in cui andrai ad applicare la modifica – di confermare la tua scelta digitando un numero e chiamandolo tramite un telefono attestato sul router. Io non possiedo alcun telefono collegato al mio 7590, ho quindi scelto la via alternativa che ti permette di confermare l’operazione semplicemente andando e premere un qualsiasi pulsante del 7590 (che nel frattempo li farà lampeggiare tutti).

Ora passiamo al tuo account. Selezionalo tra quelli presenti sul router e guarda in fondo alla pagina, troverai il paragrafo dedicato alla “Conferma tramite la App Google Authenticator“. Segui le istruzioni a video, inquadra il solito codice QR e infine inserisci il codice a tempo generato per concludere e attivare l’applicazione a due fattori per il tuo utente amministrativo di FRITZ!OS:

DNS over TLS (DoT)

Pensavi fosse finita? No, non lo è. Tra le varie novità introdotte da FRITZ!OS 7.20 c’è anche la compatibilità con DNS over TLS, rapida infarinatura anche in questo caso:

DNS over TLS (DoT) is a security protocol for encrypting and wrapping Domain Name System (DNS) queries and answers via the Transport Layer Security (TLS) protocol. The goal of the method is to increase user privacy and security by preventing eavesdropping and manipulation of DNS data via man-in-the-middle attacks.

As of 2020, Cloudflare, Quad9, Google, Quadrant Information Security, CleanBrowsing, LibreOps, DNSlify Telsy and AdGuard are providing public DNS resolver services via DNS over TLS. In April 2018, Google announced that Android Pie will include support for DNS over TLS, allowing users to set a DNS server phone-wide on both WiFi and mobile connections, an option that was historically only possible on rooted devices. DNSDist, from PowerDNS also announced support for DNS over TLS in its latest version 1.3.0. BIND users can also provide DNS over TLS by proxying it through stunnel. Unbound has supported DNS over TLS since 22 January 2018. Unwind has supported DoT since 29 January 2019. With Android Pie’s support for DNS over TLS, some ad blockers now support using the encrypted protocol as a relatively easy way to access their services versus any of the various work-around methods typically used such as VPNs and proxy servers.

Ti rimando eventualmente alla versione inglese di Wikipedia per approfondire: en.wikipedia.org/wiki/DNS_over_TLS.

Forse ricorderai che qualche tempo fa Mozilla aveva annunciato l’introduzione del DNS-over-HTTPS per Firefox, inizialmente disponibile per chi ha scelto di utilizzare la versione più instabile del browser del panda rosso, poi introdotto anche nel ramo ufficiale e oggi “standard” su qualsiasi macchina utilizzi il browser libero di Mozilla. I colleghi di Mozilla Italia hanno localizzato e messo a disposizione un documento che spiega tutto per filo e per segno, lo trovi all’indirizzo support.mozilla.org/it/kb/informazioni-dns-over-https, io qui di seguito ti riporto alle memoria i primi test condotti nel 2018 e raccontati sul blog:

Firefox: DNS over HTTPS (di Cloudflare, ma non solo)

Nonostante non si parli di DoH ma di DoT la situazione “non cambia” (non mi insultare, so di cosa stiamo parlando) per te utente finale, sono uno l’alternativa dell’altro:

DNS over TLS, or DoT, is a standard for encrypting DNS queries to keep them secure and private. DoT uses the same security protocol, TLS, that HTTPS websites use to encrypt and authenticate communications. (TLS is also known as “SSL.”) DoT adds TLS encryption on top of the user datagram protocol (UDP), which is used for DNS queries. Additionally, it ensures that DNS requests and responses are not tampered with or forged via man-in-the-middle attacks.

DNS over HTTPS, or DoH, is an alternative to DoT. With DoH, DNS queries and responses are encrypted, but they are sent via the HTTP or HTTP/2 protocols instead of directly over UDP. Like DoT, DoH ensures that attackers can’t forge or alter DNS traffic. DoH traffic looks like other HTTPS traffic – e.g. normal user-driven interactions with websites and web apps – from a network administrator’s perspective.

continua su: cloudflare.com/learning/dns/dns-over-tls

Così facendo tu potrai sfruttare questa fantastica novità di FRITZ!OS per rendere più sicure le tue risoluzioni nomi a dominio e – nell’eventualità dovessero fallire per problemi sul servizio DNS – fare cambio con due indirizzi IP classici che almeno non ti lasciano a piedi. Per modificare il comportamento del tuo router vai in InternetDati di accesso e seleziona Server DNS. Qui in fondo alla pagina troverai la possibilità di abilitare il DoT e specificare l’indirizzo a cui rivolgersi, nel mio caso ho messo in campo NextDNS (vedi il mio articolo “NextDNS: pensa se il tuo Pi-hole fosse in Cloud“) che supporta nativamente DoT e mi ha reso la vita immensamente più semplice.

FRITZ!OS 7.20: perché aggiornare? 14

Tutto il traffico viene ora incanalato in DoT direttamente dal router e – se dovesse fallire – passerebbe ai due IP di NextDNS usati dalla mia configurazione che mi permetterebbero di continuare a navigare senza notare anomalie. Su NextDNS ovviamente ho notato immediatamente la differenza rispetto al passato (e va migliorando ogni giorno di più):

FRITZ!OS 7.20: perché aggiornare? 15

FRITZ!OS 7.20 in conclusione

FRITZ!OS 7.20: perché aggiornare? 16

Ci sarebbe da parlare e scrivere ancora per diversi minuti, c’è la rinnovata sezione dedicata allo Smart Home o il miglioramento della comunicazione con i repeater sparsi per casa, c’è tanto altro da scoprire e mettere alla prova. Benvenuto quindi a FRITZ!OS 7.20, la lista di modifiche è lunga ed è completamente disponibile (in inglese) all’indirizzo download.avm.de/fritzbox/fritzbox-7590/deutschland/fritz.os/info_en.txt o se preferisci in copia “snella” (ripulita da tutto quello che non riguarda nello specifico FRITZ!OS 7.20) su Gist:

Se hai dubbi in merito sai benissimo cosa fare, l’area commenti è a tua totale disposizione.

#StaySafe

Gioxx's Wall

Se hai correzioni o suggerimenti puoi lasciare un commento nell'apposita area qui di seguito o contattarmi privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! Satispay / PayPal / Buy Me A Coffee / Patreon

Condividi l'articolo con i tuoi contatti: