Come attivare e configurare il firewall del router

Attualmente tutti i sistemi operativi hanno un file preinstallato firewall, ma in molti casi non lo abbiamo attivato o non lo abbiamo configurato correttamente. I router che sono il cervello dell'intera rete hanno anche un firewall preinstallato e attivato, basato principalmente su iptables perché la stragrande maggioranza dei firmware è basata su Linux. Oggi in questo articolo vi mostreremo quali opzioni di configurazione possiamo trovare in un firewall per router, utilizzando ASUS router e anche AVM FRITZ! Box, due produttori il cui firmware è davvero completo e ci consente una grande configurabilità.

Un aspetto molto importante che dobbiamo prendere in considerazione è che quando abbiamo attivato il firewall del router, si consiglia vivamente di avere un firewall sui PC, anche se non è del tutto necessario poiché ci troviamo in un ambiente NAT, quindi dal Internet Possono accedere alle nostre apparecchiature senza aver precedentemente aperto una porta sul nostro PC o aprire direttamente la DMZ sul nostro PC. In quest'ultimo caso, si consiglia vivamente di avere un firewall installato e configurato sul PC, poiché sarà completamente accessibile da Internet.

Attiva e configura il firewall del tuo router

A cosa serve un firewall su un router?

Grazie ai firewall, saremo in grado di consentire o bloccare il traffico in entrata e in uscita attraverso le diverse interfacce del router, sia nella WAN che nella LAN. Tuttavia, la stragrande maggioranza degli utenti desidera disporre di un firewall su Internet WAN per controllare il traffico dall'esterno al router stesso.

Un firewall in un router ci consentirà di bloccare qualsiasi tentativo di accedere a una porta specifica sul router, ovvero se abbiamo la porta TCP 22 aperta di SSH, possiamo limitare il numero di connessioni simultanee, il numero di connessioni in un certo tempo e possiamo anche consentire solo a un determinato indirizzo IP di accedere al server SSH del nostro router.

Un aspetto molto importante dei firewall di un router è che, per impostazione predefinita, tutte le comunicazioni che iniziano all'estero (su Internet) vengono rifiutate (DROP), se non sono state specificamente autorizzate in precedenza, quindi la politica di "negare tutto" è la più consigliato.

I computer sulla LAN sono sempre dietro NAT

Attualmente con le reti IPv4, utilizziamo NAT / PAT, in modo che, con lo stesso indirizzo IP pubblico, tutti i computer che abbiamo sulla LAN possano uscire su Internet. Un dettaglio importante è che sono consentite tutte le comunicazioni che vengono effettuate dall'apparecchiatura LAN a Internet, ovvero un socket viene aperto sul PC e scorre verso la destinazione e nella tabella NAT avremo la traduzione che abbiamo eseguito da IP privato a IP pubblico, in modo che quando il pacchetto ritorna, può essere reindirizzato correttamente alla sua destinazione.

Se da Internet, proviamo ad avviare la comunicazione con un computer LAN, non potremmo direttamente, a meno che:

  • Abbiamo configurato un port forwarding (porte aperte) sul router su quel PC.
  • Abbiamo configurato la DMZ sull'IP privato del PC in questione.

Pertanto, qualsiasi comunicazione da Internet alla LAN è bloccata per impostazione predefinita. Inoltre, si consiglia vivamente di disabilitare sempre il protocollo UPnP, in modo che i dispositivi non possano aprire una porta sul NAT del router stesso ed essere più protetti. Esistono alcuni dispositivi che aprono una porta in modo permanente sul router, come alcune telecamere IP, e che sarebbero facilmente accessibili tramite Internet.

Opzioni di configurazione del firewall sui router ASUS

I router ASUS incorporano un firewall basato su iptables, quindi potremmo sfruttare tutta la potenza di questo firewall attraverso la riga di comando, tramite telnet o SSH. Tuttavia, abbiamo anche alcune opzioni di configurazione disponibili sul router stesso, in modo che un utente con conoscenze di base non debba "toccare" il firewall interno.

Nel menu "Firewall", possiamo attivare o disattivare il firewall basato su iptables per reti IPv4 e anche reti IPv6, la configurazione predefinita è che in entrambi i protocolli abbiamo attivato il firewall, come raccomandato dalla sicurezza. ASUS ci consente di configurare un sistema anti-attacco DoS su reti IPv4, bloccando l'indirizzo IP di origine se si effettuano diversi tentativi di connessione, al fine di mitigare questo tipo di attacco.

Un'altra caratteristica interessante è la possibilità di bloccare qualsiasi ping (ICMP Echo-request) effettuato nella porta WAN di Internet, ciò consentirà che, se qualcuno da Internet esegue un ping, viene automaticamente bloccato (DROP).

Il firewall per IPv6 è in uno stato di blocco totale, in questo caso l'operazione è leggermente diversa poiché influirebbe anche sui computer della LAN. Nelle reti IPv6 non abbiamo NAT, ma i PC hanno un indirizzo IPv6 Global-Unicast, cioè un IP pubblico per ogni computer, ma logicamente saremo protetti dal firewall del router, dove per impostazione predefinita tutte le comunicazioni in arrivo (dal Internet al PC con IP pubblico) è bloccato, ma consente a qualsiasi comunicazione in uscita di avere connettività senza problemi.

Un'opzione molto interessante per i router ASUS è il "Filtro da LAN a WAN". In precedenza abbiamo indicato che i firewall consentono di controllare sia il traffico da Internet al router che alla LAN, e viceversa, dalla LAN a Internet. In questo caso, saremo in grado di configurare il firewall per bloccare l'uscita dei pacchetti sulla WAN dalla LAN, dovremo semplicemente inserire l'indirizzo IP di origine, destinazione e porte, per aggiungere questa regola al firewall e bloccare i pacchetti in uscita.

Sebbene non l'abbiamo visto, anche il filtro URL e parole chiave fa uso del firewall, ma con un precedente lavoro di risoluzione dei nomi e controllo del traffico.

Opzioni di configurazione del firewall su AVM FRITZ! Router box

Nel caso dei router AVM, abbiamo anche un firewall abbastanza configurabile. Per accedere al firewall dobbiamo accedere al menu con tre punti verticali e selezionare "Vista avanzata". Nel menu principale andiamo a « Internet / Filtri «, In questa sezione avremo tutto ciò che riguarda il firewall e QoS.

Nella scheda "Elenchi" è possibile attivare il firewall in modalità invisibile, per non rispondere con l'eco-risposta a qualsiasi richiesta di eco inviata alla porta WAN. Altre opzioni di configurazione interessanti sono il blocco della porta 25, che è quella tipica utilizzata per inviare e-mail senza alcuna crittografia, AVM ci consente di bloccarla direttamente per proteggerci. Possiamo anche attivare il filtro NetBIOS e persino Teredo, ovvero, se non utilizziamo questi servizi, è meglio bloccarli per motivi di sicurezza.

Sebbene non sia il firewall stesso, trovarsi in un ambiente NAT può essere il caso in cui abbiamo porte aperte che non stiamo realmente utilizzando. Si consiglia sempre vivamente di chiudere qualsiasi tipo di porta non utilizzata, poiché potrebbe essere il gateway per i criminali informatici.

Lo stesso accade con FRITZ! Servizi Box, se non vogliamo “localizzare” il router e accedervi da remoto tramite il suo IP pubblico, la cosa migliore che possiamo fare è disabilitare tale accesso, ricordiamo che potremmo accedere anche tramite VPN e quindi accedere all'IP privato del gateway predefinito.

Come puoi vedere, possiamo creare diverse connessioni VPN, sia VPN di accesso remoto sia VPN da sito a sito con questi router AVM, tutte sempre utilizzando il protocollo IPsec, attualmente non supporta OpenVPN o Wireguard.

Pertanto, si raccomanda vivamente che, se il nostro router dispone di servizi accessibili a Internet, abbiamo "esposto" solo quelli che utilizzeremo e non tutti, perché per motivi di sicurezza è sempre necessario avere tutte le porte chiuse e bloccate , tranne quelli che non abbiamo altra scelta che aprire.

È necessario avere un firewall sul mio PC?

Tutti i PC hanno un firewall attivato di default e con diversi profili che possiamo configurare molto facilmente. In caso di Windows 10, abbiamo un totale di tre profili con autorizzazioni diverse per consentire / negare il traffico, in particolare abbiamo "Rete di dominio", "Rete privata" e "Rete pubblica". Generalmente useremo sempre questi ultimi due.

La configurazione del firewall in "Rete privata" è di accettare le connessioni in entrata, poiché siamo in un ambiente affidabile, la configurazione del firewall in "Rete pubblica" è di rifiutare le connessioni in entrata se non abbiamo effettuato in precedenza la comunicazione.

Devo avere un firewall attivato sul mio computer desktop? Dobbiamo tenere presente che stiamo sempre (o quasi sempre) lavorando in un ambiente NAT, quindi per impostazione predefinita non esiste una porta aperta sul router. In caso di apertura della DMZ, l'uso del firewall è essenziale, e anche in modalità «Rete pubblica» per bloccare qualsiasi connessione in entrata che non abbiamo effettuato in precedenza. Nei casi in cui non abbiamo alcuna porta aperta, il firewall di Windows ci proteggerà solo dalle connessioni tramite la LAN, perché semplicemente non possono raggiungerci da Internet perché non hanno aperto alcuna porta (anche se è necessario assicurarsi che UPnP in il router hai disabilitato).

Se vogliamo entrare nel firewall avanzato di Windows, dobbiamo semplicemente fare clic su "Impostazioni avanzate" nel menu principale del firewall e otterremo questo menu in cui possiamo aggiungere diverse regole:

Per impostazione predefinita, un gran numero di programmi che utilizziamo ogni giorno può accettare connessioni. Se vogliamo aggiungere una nuova regola, facciamo clic su "Nuova regola" nel menu in alto a destra. Possiamo anche fare la stessa configurazione per le regole di uscita.

Come hai visto, è molto importante avere il firewall del router attivato e ben configurato, un altro aspetto importante riguardo a NAT / PAT, è non avere alcuna porta aperta se non lo stiamo usando, tanto meno attivare la DMZ sul nostro PC, perché ciò comporta un rischio elevato poiché tutte le porte sono aperte tranne quelle specificamente aperte ad altri computer.