Se il compito principale del firewall è quello di bloccare gli accessi non autorizzati dall’esterno verso la rete locale, è indispensabile che il router offra meccanismi adeguati per aprire le comunicazioni lecite in ingresso. Si pensi ad esempio a un server locale che debba offrire uno o più servizi pubblici o a una particolare applicazione che necessiti di una comunicazione bidirezionale evoluta con l’esterno.
Abbiamo già parlato della possibilità di istituire una zona demilitarizzata, che però è uno strumento spesso troppo rischioso e, soprattutto, scarsamente personalizzabile. Un’alternativa certamente più efficace è costituita dai servizi di port forwarding e virtual server. Sebbene queste due funzioni non siano tecnicamente identiche, possono essere utilizzate con il medesimo scopo.
Le regole di port forwarding o virtual server permettono di abilitare richieste lecite provenienti dall’esterno verso server locali.
Alla base del loro funzionamento vi è il sistema di trasmissione adottato dai protocolli Tcp/IP. I servizi di comunicazione sono infatti identificati dalla porta sulla quale il server attende le comunicazioni in ingresso. La porta, insieme all’indirizzo IP del server, identifica quindi il servizio attivo. Con una buona analogia si può pensare alla porta come al numero interno di un condominio: per identificare un appartamento si deve conoscere l’indirizzo civico dell’edificio (indirizzo IP del dispositivo informatico) e il suo interno (numero di porta del servizio attivo).
Il sistema delle porte di comunicazione può essere utilizzato dalle funzioni virtual server e port forwarding per consentire a più dispositivi della Lan di offrire i propri servizi all’esterno. Essenzialmente l’amministratore del router può definire una serie di regole che fanno corrispondere alle richieste esterne indirizzate a una determinata porta un indirizzo IP e una porta interna della Lan. Ipotizziamo ad esempio che l’amministratore di una rete con indirizzo IP pubblico 80.76.128.36 voglia installare un server Ftp su un computer con indirizzo locale 192.168.3.5. Il protocollo Ftp è generalmente impostato per ascoltare sulla porta 21. L’amministratore non dovrà far altro che creare una regola di inoltro che indirizzi tutte le richieste esterne alla porta 21 verso l’indirizzo 192.168.3.5. Per accedere dall’esterno al server sarà sufficiente indicare sul client l’indirizzo 80.76.128.36 e la porta 21.
Molti router offrono un set di regole precompilate per alcuni servizi o giochi online noti.
In un secondo tempo sulla rete viene installato un server Web in ascolto sulla porta 80 del personal computer locale 192.168.3.7. Per abilitare questa comunicazione basterà creare una nuova regola di inoltro da 80.76.128.36:80 a 129.168.3.7:80. Non è necessario che le porte esterna e interna corrispondano (in questo modo si possono ad esempio installare due server Ftp distinti in ascolto su porte differenti).
Una versione evoluta del port forwarding è il port triggering: in questo caso il router inoltra dinamicamente il traffico in ingresso su determinate porte verso i computer della Lan che stanno utilizzando specifiche applicazioni. Se ad esempio un computer sta eseguendo un gioco online operante in uscita sulla porta 123 e che deve ricevere comunicazioni sulla 456, il router inoltrerà le richieste alla porta 456 verso tale computer (solo quando il suddetto software è in esecuzione).
Alcuni portali online consentono di verificare la robustezza del protocollo Upnp implementato dal router.
Un meccanismo ancor più automatizzato di apertura delle porte è l’Upnp (Universal Plug&Play): se abilitato sul router, permette a determinate applicazioni locali di aprire di propria iniziativa delle porte di comunicazione. L’Upnp è potenziale fonte di vulnerabilità : prima di abilitarlo sul vostro router, verificate la robustezza dell’implementazione su siti come https://upnp-check.rapid7.com.
Simone Zanardi
[box type=”shadow” ]
Speciale sicurezza
➜ Come proteggere il router per una rete sicura
➜ Come configurare il firewall contro gli attacchi
➜ Come gestire le comunicazioni: oltre il firewall
➜ Come controllare gli accessi Internet dalla Lan
➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]