Tutti i moderni modem/router a banda larga integrano un firewall, ovvero un modulo che si occupa di filtrare il traffico in transito dall’esterno prevenendo attacchi e accessi non autorizzati alla rete locale. In realtà i firewall a bordo dei router possono assumere caratteristiche molto differenti in base ai servizi offerti e a quelli per cui il produttore decide di lasciare il controllo all’utente.
Configurare un firewall a basso livello può essere infatti impresa non semplice per i non addetti ai lavori e l’impostazione non corretta di alcuni parametri rischia di compromettere la connettività a Internet inibendo anche le trasmissioni lecite. Il giusto compromesso tra semplicità di utilizzo, versatilità dello strumento e adeguato livello di protezione non è semplice da offrire: di seguito riportiamo alcune funzioni che tipicamente trovano spazio sui router consumer e Soho.
Il firewall di base è abilitato di default su quasi tutti i router. Non disattivatelo se non in casi di estrema necessità .
Una prima protezione dall’esterno è fornita non dal firewall in sé, quanto dai meccanismi di Nat (Network Address Translation, traduzione degli indirizzi di rete), implementati in tutti i router e, nei modelli Soho in particolare, del tutto trasparenti per l’utente finale.
Per poter accedere a Internet, un qualsiasi dispositivo necessità di un indirizzo IP pubblico tramite il quale essere rintracciato sulla rete. Il protocollo IP permette di definire un numero limitato di indirizzi univoci e per questo gli Internet Service Provider forniscono ai propri abbonati un numero limitato di indirizzi IP (per gli accessi Soho tipicamente un solo indirizzo). La Nat si occupa di trasformare i pacchetti IP in transito sul router “cambiando” l’indirizzo IP di mittente e destinatario, anche in modalità uno-a-molti.
Il registro di sistema può essere un valido ausilio per identificare attacchi
o tentativi di accesso non autorizzati.
Questo sistema permette ad esempio a tutti i dispositivi della Lan (ciascuno dotato di un IP locale) di condividere l’unico indirizzo IP pubblico messo a disposizione dal provider. In senso contrario questa configurazione funge da protezione implicita, dal momento che un pacchetto proveniente dall’esterno non ha modo, se non sotto indicazione del router stesso, di raggiungere un dispositivo locale specifico, conoscendo appunto solo l’indirizzo IP pubblico.
Oltre al Nat, la maggior parte dei router in commercio è fornita con un firewall di base abilitato di default. Questo consente di bloccare attacchi classici di tipo Dos (Denial Of Service) come i Syn-Flood e i Ping Of Death.
Tutti questi attacchi non puntano a penetrare nella rete locale per carpire informazioni o dati, ma hanno il semplice obiettivo di mandare in crash i sistemi inviando pacchetti IP mal formati o in quantità eccessiva. Disattivare il firewall del router è operazione altamente sconsigliata.
In caso di assoluta necessità è però possibile definire sulla rete locale una Dmz (DeMilitarized Zone, zona demilitarizzata), ovvero un’area della rete locale che di fatto vive all’esterno del firewall ed è quindi totalmente esposta verso l’esterno. La Dmz è definita sulla base degli indirizzi IP locali dei dispositivi che devono essere esposti e rappresenta un sistema rapido per creare ad esempio dei server pubblici.
Va però utilizzata solo in casi di estrema necessità , badando a fornire gli apparati esposti di opportuni protezioni locali (antivirus, firewall personali).
Per specifiche necessità di apertura delle comunicazioni dall’esterno esistono comunque strumenti ad hoc come il port forwarding o i server virtuali, che analizzeremo nelle altre pagine.
Simone Zanardi
[box type=”shadow” ]
Speciale sicurezza
➜ Come proteggere il router per una rete sicura
➜ Come configurare il firewall contro gli attacchi
➜ Come gestire le comunicazioni: oltre il firewall
➜ Come controllare gli accessi Internet dalla Lan
➜ Come evitare gli accessi Wi-Fi non autorizzati alla rete
[/box]