Atlantis Land A02-RA MI01 manual Firewall, Packet Filter

3.4.4 Firewall

Questa funzionalità offerta dal Router ADSL è un firewall che consente una prima valida difesa nei confronti di qualche malintenzionato di cui Internet è piena. Come già detto le funzionalità offerte, pur essendo varie ed efficaci, non sono da ritenersi “sicure” sempre e comunque. Certamente potrebbero essere considerate ampiamente soddisfacenti in molte circostanze, ma la varietà degli attacchi e la velocità con cui Internet si evolve consiglia sempre di non considerarsi inattaccabili. Qualora le informazioni custodite siano particolarmente importanti consigliamo un’attenta configurazione del firewall e magari l’uso di prodotti, a supporto, più adatti al caso.

Un utente può decidere di abilitare il firewall del Router composto sostanzialmente dalle seguenti sottosezioni: Packet Filter, Block Hacker Attack e Block WAN. Le prestazioni possono decrescere dal 5% sino al 10% a seconda del tipo di controlli che si richiedono al firewall. E’ consigliabile visitare periodicamente il sito di AtlantisLand (www.atlantisland.it o www.atlantis-land.com) al fine di reperire l’ultimo Firmware che potrebbe migliorare le caratteristiche del firewall.

Packet Filter

Queste funzioni di filtraggio dei pacchetti IP sono in buona sostanza una serie di regole che il Router ADSL applicherà ai pacchetti IP che lo attraversano e stabilirà o meno il soddisfacimento di queste regole, pacchetto per pacchetto. E’ utile comunque sapere che il solo filtraggio sui pacchetti non elimina i problemi legati a livello di applicazioni o altri livelli.

Le politiche con cui organizzare un filtraggio sono essenzialmente riassumibili in due posizioni: Blocco ciò che conosco come pericoloso e consento il passaggio del resto: Tale posizione dovrebbe essere applicata da coloro che possiedono una discreta conoscenza di Internet. Richiede la conoscenza dei pericoli da filtrare opportunamente e consente, nella maggior parte dei casi, di non imbattersi in decine di applicazioni che hanno problemi perché mal configurate (con questo filosofia si blocca solo il pericolo). In questo caso bisognerà formare un nuovo set di regole (vedere sotto) scegliendo come azione il drop.

Passa solo quello che ritengo sicuro il resto è bloccato:Tale posizione dovrebbe essere applicata da coloro che possiedono una buona conoscenza di Internet in quanto è necessario predisporre una regola per ogni “servizio” che si vuole usare. E’ certamente più sicura ma richiede una maggiore conoscenza delle problematiche ed una più lunga preparazione delle regole dei filtri (che possono essere moltissimi). In questo caso bisognerà formare un nuovo set di regole (vedere sotto) scegliendo come azione il forward.

E’ opportuno fare una regola finale che tagli tutto (Active=yes, Packet Type=Any, Action=Drop,). In questo modo tutti i pacchetti entranti che non sono stati già inoltrati vengono eliminati rispettando la filosofia generale di questo approccio.

Qualora si usasse il NAT, e dunque nessun PC della Lan ha in dotazione un IP pubblico, la rete dovrebbe essere già sufficientemente protetta in ingresso.

Una volta realizzate le regole che determinano il modo in cui avviene il filtraggio dei pacchetti IP è opportuno verificare la sicurezza del sistema. Questo è realizzabile in diverse modalità:

1-Sito specializzato:In questo caso è possibile ottenere un primo risultato visitando il sito http://www.dslreports.com (ve ne sono ovviamente moltissimi altri) e accedendo alla sezione DSLR Tools ed infine scegliere Port-Scan. I risultati possibili, per ogni porta controllata, possono essere 3 (open:la porta è in ascolto e dietro c’è un servizio che accetta le connessioni, closed:la porta rifiuta la connessione e non è dato sapere se c’è un servizio dietro, stealth: la porta non risponde alla richiesta di connessione)

33