Il firewall protegge la navigazione in Internet

Roberto Weitnauer
06 giugno 2007
(4 pagine, 2 immagini)
www.kalidoxa.com
Diritti riservati
- Il firewall protegge la navigazione in Internet Questa è una guida molto semplice sul firewall, letteralmente il “muro tagliafuoco”
che ci protegge dalle insidie della rete. Si tratta di un software che funge da
guardiano e controlla il traffico in entrata e in uscita, cioè il traffico dal nostro pc
verso Internet e quello da Internet verso il nostro pc.
Il firewall è un dispositivo hardware o software oggi irrinunciabile per la sicurezza
di un pc stand alone o di una rete locale. Questo “muro tagliafuoco” ci protegge dalle
purtroppo numerose intrusioni provenienti da Internet e provvede anche a controllare
quali programmi tentino di connettersi a Internet, magari dopo essersi insediati
illecitamente nelle nostre macchine (trojan).
Capire l’importanza di un firewall è fondamentale per non rischiare di mettere a
repentaglio la nostra privacy o l’integrità dei nostri dati e anche per evitare di
diventare inconsapevoli strumenti di dolo in mano altrui. Un hacker che prenda
possesso del nostro pc lo può infatti impiegare per carpire numeri di carte di credito,
password di posta, documenti personali oppure per sferrare attacchi contro terzi e
depositare materiale pirata. Insomma, di tutto e di più.
Quando navighiamo in rete i nostri pc si comportano come i telefoni: fanno un
numero per connettersi a un certo interlocutore. La differenza è che in Internet la
cornetta viene sempre e comunque sollevata, giacché si tratta di un processo
automatico. Così, la nostra macchina è alla mercé dell’eventuale hacker di turno. Il
numero che viene fatto in Internet si chiama IP (indirizzo di Internet Protocol). Con i
vecchi modem l’IP è variabile, cioè cambia a ogni collegamento. Con la banda larga
(Adsl, cavo), invece, esso è di norma fisso e attivo per lunghe sessioni: è quindi
esposto e facilmente rintracciabile. Il firewall è come una specie di guardiano che
verifica chi ci sia all’altro capo e cosa voglia prima di consentire la connessione.
Per accedere di sottecchi a un computer remoto non basta conoscere il suo
indirizzo IP nella rete mondiale. Occorre anche intrufolarsi per una delle sue “porte”.
Il pc è come un grande edificio aziendale: c’è l’ingresso dei dipendenti, quello dei
clienti, dei fornitori, dell’assistenza tecnica. Ciascun programma ricorre alle proprie
porte quando deve interfacciarsi all’esterno. Ad esempio, Outlook invia email tramite
la porta 25, le riceve con la 110 e veicola news dalla 119.
Le porte di un pc sono 65000, il che lo fa sembrare una sorta di colabrodo al
cospetto delle insidie esterne. Il sistema operativo (Windows) non le controlla tutte e
quelle che controlla le può lasciare aperte anche quando non vengono usate. I varchi
sfruttabili dagli hacker sono pertanto diversi. È qui che il firewall espleta la sua
1/4
mansione primaria. Esso concede l’uso della porta solo al programma che l’utente
autorizza (ad esempio, Outlook) e solo per il tempo strettamente necessario. Se un
malintenzionato conosce il nostro IP e tenta con un “portscanner” di bussare alle
porte del nostro pc, ebbene non riceve risposta e non può neppure sapere se siamo
collegati: per lui siamo invisibili (stealthed).
Il firewall è una specie di guardiano interposto tra il nostro pc (o la nostra rete locale) e Internet.
Esso controlla il traffico bidirezionale che avviene attraverso le porte del computer e agisce
bloccando il flusso di dati oppure consentendolo, in funzione delle regole che gli sono state
impartite.
Grafica dell’autore.
Come in qualunque altro campo, nell’informatica non esistono sicurezze totali.
Anche un firewall personale residente su pc potrebbe essere aggirato. Una tecnica
tipica è quella dell’“http-tunneling”. Essa consiste nel mascherare istruzioni
fraudolente nelle vesti di traffico http, cioè di normali protocolli d’interazione con
pagine web che sono abitualmente concessi dai firewall sulla porta 80.
Un altro caso di “abilitazione rubata” è quella della “dll-injection”. Le dll (dynamic
link library) sono librerie utilizzate dai normali programmi di bordo. Se un hacker
riesce a contaminare un file .dll con codice maligno quest’ultimo passa tutti i filtri,
dal momento che si accompagna a un software che ha ricevuto un’autorizzazione per
l’interscambio con Internet.
Il firewall non solleva quindi l’utente dall’adottare alcune accortezze minime
quando naviga: mai cliccare su link che pervengano per posta da sconosciuti, mai
scaricare e aprire file di origine sospetta, non frequentare con superficialità siti
underground, ecc. E, comunque, un firewall va sempre abbinato a un antivirus e
viceversa.
2/4
- Come usare il firewall Diamo qui alcuni criteri per utilizzare correttamente un firewall. Ci sono due
regole generali da osservare: la prima regola è che bisogna dare delle regole al
firewall, la seconda è quella di stabilire con cautela se bloccare o meno una
connessione nel momento in cui esso intercetti qualcosa che esula dalle regole e
chieda il da farsi.
Molti firewall si possono autoconfigurare in base a quanto installato sul pc e alle
sue modalità d’impiego. È una facilitazione, ma non rende consapevole l’utente di
quel che succede mentre naviga e, proprio per questo, può trasformarsi in un’arma a
doppio taglio. Meglio un po’ di fai da te.
In una configurazione manuale l’utente deve scegliere quali applicazioni possono
accedere a Internet. In genere, non è necessario che lo faccia subito: basta aspettare la
prima connessione di una di esse e poi abilitarla “on the fly”, cioè al volo,
dall’interfaccia del firewall che si apre in automatico, avendo cura di spuntare la
casella che reca la dicitura “ricorda questa impostazione” (o qualcosa del genere);
questo solo per non farsi tediare ogni volta dalla stessa domanda.
Per esempio, se leggiamo una pagina Word che riporta un link e clicchiamo su di
esso il firewall ci avvertirà subito che il software “Word” tenta di collegarsi alla rete.
Gli diremo allora di consentire l’accesso richiesto e tutti gli altri futuri, ossia creiamo
una regola. Word è infatti un programma che ci serve e che sappiamo fidato, non
qualcosa di sospetto. Lo stesso faremo poi per tutti gli altri applicativi che possono
puntare a Internet (tipicamente, il client di posta e il browser).
Alcuni firewall consentono di scendere nei particolari e decidere anche quali porte
abilitare per il servizio. Ad esempio, sapendo che Outlook manda dati solo dalla porta
25, è più sicuro non consentire l’apertura di altre porte oltre questa quando esso
spedisce delle email. A un livello ancor più restrittivo possiamo limitare il suo invio
di dati all’IP del nostro account di posta. In genere, la sola indicazione del software
da abilitare è sufficiente, ma le sicurezze aggiuntive non fanno male di questi tempi.
Se dopo un po’ di giorni in compagnia del firewall compare un avviso inatteso che
un certo software vuole connettersi a Internet potrebbe significare che abbiamo un
programma da aggiungere alla lista: un software nuovo che abbiamo installato oppure
uno che ci siamo scordati di abilitare. Tuttavia, sussiste anche l’eventualità che ci
siamo inconsapevolmente infettati e un trojan cerca di connettersi a Internet per
trasmettere dati dal nostro pc. Attenzione dunque a questi messaggi. Occorre
controllare con scrupolo il nome dell’applicativo che si vuole affacciare su Internet.
In caso di dubbi, meglio dire di no, poi eventualmente si corregge il tiro in un
secondo tempo.
Per quanto riguarda le richieste di accesso che vengono fatte dall’esterno verso la
nostra macchina le uniche autorizzazioni da dare riguardano gli indirizzi dei
computer noti che si trovano in un’eventuale rete locale cui il nostro pc è collegato.
Tutto il resto è da considerarsi pericoloso. Spesso si tratta di piccoli software
commerciali mandatici da siti web che vogliono controllare il nostro comportamento
durante la navigazione. Sono innocui, ma violano comunque la nostra privacy. In
3/4
alcuni rari casi potrebbe però trattarsi di vere e proprio intrusioni criminose. Meglio
stare in campana.
Un tipico avvertimento del firewall (in questo caso il prodotto Zone Alarm) che annuncia all’utente
che dall’indirizzo Internet indicato (numero IP) - solitamente quello di un sito che si sta visitando viene effettuato un tentativo di connettersi al pc. L’utente può stabilire se rifiutare (in prima battuta
è sempre meglio) oppure se concedere il permesso d’ingresso al server remoto. È poi possibile
istruire il firewall in modo che non ripeta più la domanda per quel sito visitato.
I firewall registrano le connessioni che hanno bloccato. È utile dare un’occhiata ai
relativi log, perché ci si rende conto della quantità esorbitante di toc-toc che per un
motivo o l’altro vengono continuamente fatti alle porte del nostro pc e che il firewall
debitamente respinge. Da queste liste si può anche vedere se qualcuno insiste nel
volerci attaccare. Può trattarsi del portscanner di qualche giochino in rete, ma talora è
una persona in carne ed ossa che lascia una traccia oggettiva.
In commercio vi sono vari firewall, gratuiti e non. Windows ne ha uno suo, ma
poco configurabile. Firewall efficienti sono quello di Norton, di McAfee, di Zone
Alarm, di Kerio Technologies, di Sygate, di Zero Knowledge e di Internet Security
Systems. Tra quelli completamente gratuiti (per uso personale) si segnalano Zone
Alarm e Kerio. Per trovare questi software basta inserire il nome dell’azienda in
Google (magari insieme alla parola “firewall”).
Infine, è utile controllare la sicurezza del proprio pc in rete. Ci sono dei siti che
rendono questo servizio con dei test ad hoc. Uno molto completo, ma lento è:
http://www.pcflank.com. Un elenco si può trovare in http://tinyurl.com/22rkla e in
http://tinyurl.com/3y3qhx.
Roberto Weitnauer
4/4