L'interconnessione tra elaboratori ha assunto, ormai da tempo, importanza fondamentale, tanto da attribuire alle reti il ruolo di infrastruttura critica in ogni sistema informativo. Di conseguenza anche Internet, rete delle reti, è oggi considerata parte integrante del supporto ad ogni attività informatica, comprese quelle, più o meno ludiche, effettuate nelle nostre case di utenti finali.

Se ne comprende facilmente il motivo: la connessione a Internet consente di accedere, con costi estremamente contenuti, a una mole incalcolabile di informazioni e risorse di ogni genere e offre la possibilità di comunicare in tempo reale con persone o sistemi situati praticamente ovunque nel mondo. Tali attrattive, unitamente alla grande facilità di accesso ai servizi reperibili in Rete, portano spesso a dimenticare un fatto importantissimo: se è vero che dal nostro computer possiamo raggiungere tutto il mondo, è altrettanto vera la situazione inversa. In altre parole, da ogni computer connesso a Internet è possibile raggiungere il nostro; per di più, non è assolutamente certo che, qualora ciò effettivamente avvenga, vi siano all'origine intenzioni oneste e amichevoli.

Il problema era meno grave alcuni anni fa, quando la quasi totalità degli accessi casalinghi a Internet avveniva mediante modem relativamente poco performanti e aveva la durata appena indispensabile per navigare qualche sito e scaricare la posta o leggere le news. Proprio la durata limitata della connessione e, soprattutto, il fatto che l'indirizzo IP attribuito al computer dell'utente cambiasse ad ogni collegamento, rendevano gli utenti finali un bersaglio poco appetibile per i malintenzionati.

Ma, a causa del rapido evolvere della tecnologia e dell'incremento esponenziale dell'offerta di servizi in Rete, la situazione è ora radicalmente diversa: la durata dei collegamenti aumenta (chat, download, servizi streaming audio o video) e si diffondono tecnologie, quali l'ADSL, che consentono connessioni casalinghe permanenti con indirizzo IP fisso. Una vera manna per i crackers, che si vedono enormemente facilitati nel loro obiettivo di individuare computer vulnerabili contro i quali sferrare attacchi, spesso destinati a riuscire con estrema facilità.

Una volta "bucato" il computer, è poi un gioco da ragazzi curiosare tra i segreti della vittima alla ricerca di informazioni interessanti (il numero della carta di credito, la password del servizio di internet banking...) o, addirittura, creare una testa di ponte dalla quale attaccare altri sistemi, facendo ricadere ogni resposabilità sull'ignaro utilizzatore. Non si tratta affatto di uno scenario fantascientifico: molto spesso, infatti, i nostri computer sono configurati come preimpostato dal programma di installazione del sistema e, di conseguenza, può avvenire che molti servizi (telnet, web, ftp, dns, http proxy e altri ancora) siano attivi senza che il proprietario ne sia consapevole. Quando la macchina è collegata alla Rete, basta una password banale (ammettiamolo: lo sono quasi tutte, quasi sempre) o la mancata installazione dell'ultima patch di sicurezza e... la frittata è fatta.

Le conseguenze possono essere davvero gravi, e non solo sotto il profilo tecnico: la legge, infatti, stabilisce responsabilità penali per l'amministratore negligente che si sia reso complice involontario di malversazioni informatiche. In altre parole, si può rischiare la galera. Bisogna considerare, però, che la legge non stabilisce obblighi precisi: questi devono essere, al contrario, commisurati alle caratteristiche del sistema informativo e all'ambito in cui esso viene utilizzato. Un Internet provider è tenuto a provvedere alla sicurezza dei propri sistemi con impegno, attenzione e risorse certamente maggiori di quanto richiesto a chi utilizzi un computer in casa propria, per lavoro o per hobby, e con esso si connetta in modo più o meno saltuario alla Rete.

Perciò, la soluzione non sta nel rinunciare a Internet, confinandosi spontanemante e per sempre in un mondo di esclusi dalle sue meraviglie... la prudenza è d'obbligo, ma la paranoia è comunque un eccesso.

Quando si parla di protezione contro le intrusioni, firewall è quasi una parola d'ordine. Il firewall (muro tagliafuoco) è un sistema in grado di isolare tra loro due o più reti e consentire che tra le stesse transiti esclusivamente il traffico desiderato. Va detto, a scanso di equivoci, che un firewall non è necessariamente la soluzione unica, definitiva e insostituibile al problema delle intrusioni; inoltre la sua complessità e quella della sua configurazione dipendono largamente dall'ambito in cui esso è impiegato: si possono avere firewall software e sistemi costituiti da più componenti hardware e software cooperanti.

Il caso particolare di cui ci stiamo occupando è quello di un computer utilizzato per normali attività di home computing, connesso a Internet in modo semipermanente via modem analogico, ISDN o ADSL. Esso, inoltre, potrebbe essere collegato in rete locale a un secondo computer (ad esempio un notebook). Infine, particolare molto importante, si tratta di un computer su cui "gira" GNU/Linux, il quale implementa, già a livello di kernel, la capacità di filtrare il traffico in transito sulle interfacce di rete, consentendo esclusivamente il passaggio del traffico conforme alle regole stabilite dall'amministratore. Per le premesse testè presentate, possiamo affermare di avere a disposizone un vero e proprio firewall software, in grado di proteggere degnamente il nostro Pinguino con un livello di sicurezza assolutamente adeguato a evitare che ogni sessione di lavoro in Rete sia fonte di infinite preoccupazioni. A patto, naturalmente, che se ne comprenda il funzionamento, lo si configuri con attenzione e, sopratutto, non ci si illuda di avere ottenuto l'assoluta invulnerabilità.

L'implementazione di riferimento, detta Netfilter, è una componente del kernel stabile a partire dalla versione 2.4; la capacità di effettuare packet filtering è presente nei kernel di Linux già a partire dalla versione 1.1, ma proprio con il kernel 2.4 essa, grazie ad una notevole opera di reingegnerizzazione, ha raggiunto livelli di efficienza, versatilità e efficacia senza precedenti.

Per configurare efficacemente un firewall, è necessario comprenderne, oltre alle principali particolarità sintattiche, la logica di implementazione. Ma, prima ancora, è opportuno approfondire, seppure con parecchie semplificazioni, alcuni aspetti tecnici del protocollo IP, cioè delle regole che in Internet presiedono alla comunicazione tra computer.

Tutti questi temi sono affrontati nell'articolo, il cui testo completo è scaricabile tramite il link sottostante.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: