Oltre i firewall isolati: le Dmz
Chiunque volesse usare in casa dispositivi Upnp, poco o per niente sicuri, oppure accedere anche da fuori, via Internet, a uno e uno solo dei computer domestici potrebbe aumentare la sicurezza della sua rete locale proprio con un firewall, anche se da solo non basterebbe certo a garantirla..
Configurando opportunamente un firewall si può infatti collocare qualsiasi cosa capace di connettersi a Internet per suo tramite (inclusi console per giochi, Smart Tv e terminali mobili) in due sottoreti locali separate, con scopi e privilegi ben distinti. Nella prima andranno tutti gli oggetti che non devono affatto essere raggiungibili da Internet (anche se potrebbero connettersi ad essa su esplicita richiesta dei loro utente locali). L’altra sottorete, fisicamente connessa a una diversa interfaccia (cablata o wireless) del firewall, ospiterà invece tutti e soli i dispositivi che devono per forza essere raggiungibili da Internet, altrimenti sarebbero inutili (si pensi a una webcam con funzioni antifurto). Questa seconda zona viene chiamata “zona demilitarizzata” (Dmz), a indicare che è una sorta di terra di nessuno ad alto rischio. Il firewall filtrerà tutti i pacchetti che lo attraversano in modo che la rete interna sia effettivamente irraggiungibile (nel senso già spiegato) sia dall’esterno, sia dalla stessa Dmz. In questo modo, anche se un cracker riuscisse ad assumere il controllo di un terminale raggiungibile perché “abbandonato” nella Dmz, non potrebbe servirsene per attaccare il resto della rete locale.
Interfacce Linux per i firewall
L’interfaccia utente più diffusa, affidabile, portabile e flessibile per configurare firewall Linux è senz’altro uno o più script shell contenenti la giusta sequenza di comandi iptables. Come mostrano le schermate in questo articolo, sono disponibili parecchie alternative con interfacce grafiche per tutti i gusti. Sotto il cofano, prevedibilmente, tutti quei programmi non fanno altro che chiamare iptables, con le opzioni corrispondenti ai pulsanti appena cliccati dall’utente. Le differenze stanno solo nell’aspetto e nella quantità di pulsanti e menu predefiniti, nella varietà di interfacce disponibili e e nella documentazione che accompagna ogni applicazione. Ufw, il firewall di default per Ubuntu, lavora sia da riga di comando sia con interfaccia a finestre, così come FireStarter (www.fs-security.com). Oltre alle funzioni di filtraggio vere e proprie, FireStarter può gestire configurazione Dhcp, Nat/Pat, “liste nere” di siti da interdire a priori e visualizzazione dinamica di tutte le connessioni che blocca. Shorewall (https://shorewall.net) ha funzioni simili, controllabili da browser tramite il server Webmin (www.webmin.com).
L’interfaccia a tabelle colorate del firewall di IpFire, ognuna corrispondente a un diverso segmento di rete, non è certo all’ultima moda, ma è comunque molto intuitiva ed efficiente.
L’interfaccia ricca di schede del “firewall configurator” di Fedora/Gnome facilita la creazione di Dmz e tante altre zone su una stessa rete locale, con tutte le opzioni possibili a portata di clic. Meno facile da definire è Vuurmuur (www.vuurmuur.org). La “missione” dichiarata di quest’ultimo è lasciar amministrare firewall anche a chi non ha alcuna conoscenza precedente di iptables, tramite regole con una sintassi “leggibile da esseri umani”.
L’interfaccia utente però, anche se dotata di menu e moduli, è a caratteri, quindi accessibile solo dall’interno di un terminale. A compensazione di questa complessità (più apparente che reale) Wuurmuur può essere controllato automaticamente da script, e rende relativamente facile anche impostare velocità e ritardo medio di ogni connessione (traffic shaping), monitoraggio in tempo reale e altre operazioni non proprio per principianti.
Marco Fioretti
[box type=”shadow” ]
Il wiki italiano della distribuzione Arch Linux include una buona introduzione a vari dettagli dei firewall (https://wiki.archlinux.org/index.php/Firewalls_%28Italiano%29). Una spiegazione più approfondita, sempre in Italiano, si trova su www.extraordy.com/sicurezza-firewall-basi-e-progettazione-di-iptables-prima-parte. Il portale Distrowatch mantiene, insieme a tanti altri, anche un elenco aggiornato delle distribuzioni di Linux create apposta per offrire questo servizio (https://distrowatch.com/search.php?category=Firewall).
Fra i tanti articoli e tutorial online che spiegano l’uso pratico di iptables con esempi concreti segnaliamo https://openskill.info/topic.php?ID=155 (in Italiano) e le pagine Web www.cyberciti.biz/tips/linux-iptables-examples.html, www.golinuxhub.com/2014/03/how-to-allowblock-ssh-connection-from.html e www.thegeekstuff.com/2011/03/iptables-inbound-and-outbound-rules.
[/box]