Atlantis Land A02-RA MI01 Manuale d'uso

33

3.4.4 Firewall

Questa funzionalità offerta dal Router ADSL è un firewall che consente una prima valida difesa nei
confronti di qualche malintenzionato di cui Internet è piena. Come già detto le funzionalità offerte,
pur essendo varie ed efficaci, non sono da ritenersi “sicure” sempre e comunque. Certamente
potrebbero essere considerate ampiamente soddisfacenti in molte circostanze, ma la varietà degli
attacchi e la velocità con cui Internet si evolve consiglia sempre di non considerarsi inattaccabili.
Qualora le informazioni custodite siano particolarmente importanti consigliamo un’attenta
configurazione del firewall e magari l’uso di prodotti, a supporto, più adatti al caso.
Un utente può decidere di abilitare il firewall del Router composto sostanzialmente dalle seguenti
sottosezioni: Packet Filter, Block Hacker Attack e Block WAN. Le prestazioni possono decrescere
dal 5% sino al 10% a seconda del tipo di controlli che si richiedono al firewall. E’ consigliabile
visitare periodicamente il sito di AtlantisLand (

www.atlantisland.it

o

www.atlantis-land.com

) al fine di

reperire l’ultimo Firmware che potrebbe migliorare le caratteristiche del firewall.

Packet Filter

Queste funzioni di filtraggio dei pacchetti IP sono in buona sostanza una serie di regole che il Router
ADSL applicherà ai pacchetti IP che lo attraversano e stabilirà o meno il soddisfacimento di queste
regole, pacchetto per pacchetto. E’ utile comunque sapere che il solo filtraggio sui pacchetti non
elimina i problemi legati a livello di applicazioni o altri livelli.
Le politiche con cui organizzare un filtraggio sono essenzialmente riassumibili in due posizioni:
Blocco ciò che conosco come pericoloso e consento il passaggio del resto: Tale posizione dovrebbe
essere applicata da coloro che possiedono una discreta conoscenza di Internet. Richiede la conoscenza
dei pericoli da filtrare opportunamente e consente, nella maggior parte dei casi, di non imbattersi in
decine di applicazioni che hanno problemi perché mal configurate (con questo filosofia si blocca solo
il pericolo). In questo caso bisognerà formare un nuovo set di regole (vedere sotto) scegliendo come
azione il drop.

Passa solo quello che ritengo sicuro il resto è bloccato:Tale posizione dovrebbe essere applicata da
coloro che possiedono una buona conoscenza di Internet in quanto è necessario predisporre una regola
per ogni “servizio” che si vuole usare. E’ certamente più sicura ma richiede una maggiore conoscenza
delle problematiche ed una più lunga preparazione delle regole dei filtri (che possono essere
moltissimi). In questo caso bisognerà formare un nuovo set di regole (vedere sotto) scegliendo come
azione il forward.
E’ opportuno fare una regola finale che tagli tutto (Active=yes, Packet Type=Any, Action=Drop,). In
questo modo tutti i pacchetti entranti che non sono stati già inoltrati vengono eliminati rispettando la
filosofia generale di questo approccio.
Qualora si usasse il NAT, e dunque nessun PC della Lan ha in dotazione un IP pubblico, la rete
dovrebbe essere già sufficientemente protetta in ingresso.

Una volta realizzate le regole che determinano il modo in cui avviene il filtraggio dei pacchetti IP è
opportuno verificare la sicurezza del sistema. Questo è realizzabile in diverse modalità:
1-Sito specializzato:In questo caso è possibile ottenere un primo risultato visitando il sito

http://www.dslreports.com

(ve ne sono ovviamente moltissimi altri) e accedendo alla sezione DSLR

Tools ed infine scegliere Port-Scan. I risultati possibili, per ogni porta controllata, possono essere 3
(open:la porta è in ascolto e dietro c’è un servizio che accetta le connessioni, closed:la porta rifiuta la
connessione e non è dato sapere se c’è un servizio dietro, stealth: la porta non risponde alla richiesta
di connessione)