Aprire le porte del Router e chiuderle quando non più necessario
articolo preso in prestito da Il Software.it
Il router è quel dispositivo che si occupa di instradare i pacchetti dati fra reti diverse. È uno strumento che rende interoperabili più reti a livello di indirizzamento consentendo l’accesso ai sistemi collegati.
I router costituiscono la spina dorsale della rete Internet perché, grazie alle informazioni contenute in apposite tabelle (dette tabelle di instradamento), memorizzate al loro interno, fanno in modo che i dati in arrivo vengano smistati verso le destinazioni corrette.
I router possono essere pensati come dispositivi “intelligenti” (operano al livello 3 della famosa pila ISO/OSI ossia al livello di rete), capaci di interconnettere, ad esempio, reti LAN utilizzando tecnologie differenti.
Oltre ai router di fascia più alta utilizzati dai vari provider per la rete di trasporto, è oggi comune l’impiego di apparati (sia in ambito aziendale che domestico) che svolgono il lavoro di uno switch(instradano i pacchetti a livello locale attraverso indirizzi IP privati) ma che spesso integrano anche funzionalità di modem costituendo l’interfaccia fra la LAN e la rete Internet.
Nell’articolo ci siamo soffermati anche sul firewall integrato, sulle modalità per la condivisione dei dati in rete locale e sull’eventuale apertura ed inoltro delle porte.
A tale porta potrà essere connesso, mediante un cavo RJ-45 (“Ethernet”), un dispositivo che permetta di stabilire il collegamento con il provider fornitore del servizio di accesso ad Internet. In questo caso l’IP privato del router dovrà essere scelto in modo tale che ricada nella stessa classe di IP locali usata dall’altro device.
Una volta che il router è configurato ed è possibile accedere alla rete Internet (nei nostri articoli Configurare router: guida per tutti i modelli ed i provider Internet e Connessione Internet lenta: come diagnosticare e risolvere il problema abbiamo presentato alcuni strumenti per effettuare le verifiche del caso), suggeriamo di verificare in che modo i sistemi collegati alla rete Internet, esternamente alla propria struttura aziendale o domestica “vedono” il proprio router.
Lo spunto per la stesura di quest’articolo ci è stato offerto dalla scoperta del malware “TheMoon” che bersaglia i router a marchio Linksys, brand di proprietà di Belkin: Il malware The Moon bersaglia i router Linksys.
Periodicamente, però, si rincorrono notizie di attacchi rivolti a talune tipologie di router (vedere i tanti nostri articoli sull’argomento).
Il router ha il compito di separare i sistemi connessi sulle porte LAN ed attraverso l’eventuale interfaccia Wi-Fi dalla rete WAN (Internet).
Il router, una volta connesso alla rete del provider Internet, riceverà un indirizzo IP dal fornitore d’accesso e fungerà da punto di riferimento per tutti i sistemi della rete locale (LAN) che vogliono affacciarsi sulla rete Internet.
La separazione tra interfacce LAN/wireless e rete WAN avviene anche per ovvi motivi di sicurezza: il router, dotato di funzionalità firewall, blocca per impostazione predefinita tutti i tentativi di connessione provenienti dalla rete Internet mentre consente, senza limitazioni, il transito dell’intero traffico in uscita.
Tutti i computer della LAN, quindi, saranno liberi di accedere ad Internet e connettersi senza restrizioni ai server remoti ma nessun utente remoto potrà – almeno nelle configurazioni di default – connettersi ad uno qualunque dei sistemi connessi in LAN (protezione firewall).
Abbiamo scritto “almeno nelle configurazioni di default” perché l’amministratore di rete o comunque l’utente che gestisce il router è libero di stabilire se consentire l’accesso alle risorse della LAN oppure ad alcune impostazioni del dispositivo agli utenti remoti.
È quindi importante, anche per scongiurare attacchi come quello descritto nell’articolo Il malware The Moon bersaglia i router Linksys, verificare in che modo il router si presenta “agli occhi” di un sistema o di un utente remoto.
Il primo consiglio è quello di verificare che sul router si attivo il cosiddetto stateful inspection firewall(spesso indicato come SPI firewall ovvero stateful packet inspection firewall). L’abilitazione dello SPI firewall permette di rendere il router “invisibile” sulla rete Internet o meno consente di evitare l’invio di risposte alle richieste ICMP.
Cosa significa? Si provi a visitare la home page di DNSStuff oppure questa pagina. Si dovrebbe immediatamente leggere l’indirizzo IP (statico o dinamico) assegnatoci dal provider Internet (vedere anche Scoprire dove si trova una persona a partire dall’indirizzo IP).
Aprendo il prompt dei comandi quindi digitando ping seguito da tale IP, si dovrebbe ottenere una serie di risposte.
Digitando lo stesso comando da una macchina remota non connessa quindi alla medesima rete locale, nel caso in cui lo SPI firewall risultasse correttamente attivato si dovrebbe ricevere sempre una richiesta scaduta.
In questo modo, con lo SPI firewall abilitato, per un utente remoto si sarà praticamente “inesistenti” sulla rete Internet.
Lo SPI firewall è attivabile accedendo al pannello di amministrazione del router digitando, nella barra degli indirizzi del browser, l’IP locale del router quindi nome utente e password necessari per la sua amministrazione (nell’articolo Configurare router: guida per tutti i modelli ed i provider Internet le indicazioni per l’accesso al pannello di configurazione dei principali router disponibili sul mercato).
A questo punto, uno dei principali consigli è quello di collegarsi con la pagina test di GRC Shields up.
Qui bisognerà fare clic sul pulsante Proceed quindi su All service ports.