TLI risponde: devo installare un firewall su Linux/Ubuntu?

In ambito Windows, la presenza di un firewall è fondamentale per preservare la sicurezza del computer tanto che Microsoft attiva l'ottimo Windows Firewall non appena conclusa l'installazione del sistema operativo. Ubuntu e molte altre distribuzioni, al contrario, non abilitano questo tipo di protezione. Perché? è necessario installare un firewall su Linux oppure si può farne a meno?

Nota: questo articolo è incentrato sul mondo Linux. Per l'analoga trattazione inerente Windows vedi "TLI risponde: devo veramente installare un firewall sul PC oppure basta Windows Firewall?".

Saltiamo alle conclusioni

Quando se ne fa un uso prettamente "desktop" (web, produttività, giochi ecc), non è strettamente necessario abilitare il firewall di Linux. Certo, può costituire un meccanismo di difesa aggiuntivo, ma le differenze architetturali rispetto a Windows e la storia degli ultimi decenni ci mostrano chiaramente che è in larga parte una precauzione superflua.

L'eccezione è costituita dai casi in cui si attivino servizi addizionali, come la condivisione file oppure un server web da utilizzarsi per lo sviluppo locale. Sebbene senza port forwarding sul router il traffico in ingresso venga bloccato ancor prima di raggiungere il PC, il firewall risulta comunque utile per rafforzare la visibilità di tali servizi alla sola rete locale.

L'articolo di riferimento per chi voglia proseguire è "Ubuntu, firewall e ufw: guida rapida per aprire le porte o bloccare le connessioni e gli IP".

A cosa serve il firewall?

Non mi dilungherò qui a ripetere quanto esposto nell'articolo "TLI risponde: devo veramente installare un firewall sul PC oppure basta Windows Firewall?": la funzione di un firewall è infatti la stessa indipendentemente dal sistema operativo, ovvero analizzare il traffico di rete e stabilire quali pacchetti bloccare e quali lasciar passare. Il suo scopo principale è proteggere le applicazioni e le porte di comunicazione, evitando che esse possano essere contattate indiscriminatamente e, potenzialmente, abusate.

Perché Windows ha un firewall attivo di default?

Il componente noto come Internet Connection Firewall fu veicolato per la prima volta da Windows XP (anno: 2001), ma, all'epoca, era inattivo di default. A metà 2003, però, un worm di nome Blaster passò alla storia paralizzando centinaia di miglia di PC in modo del tutto automatico: l'infezione si propagava da computer a computer (anche attraverso Internet) tramite l'invio di un messaggio malformato al servizio Remote procedure call (RPC). Il problema si ripresentò mesi dopo in maniera del tutto analoga sottoforma del worm Sasser e di una vulnerabilità nel servizio Local Security Authority Subsystem Service (LSASS).

All'epoca si constatò che, sebbene le patch per risolvere i problemi sfruttati fossero disponibili, il grande pubblico non si preoccupava di installarle (nel caso di Sasser, la correzione era stata resa disponibile due settimane prima dell'apparizione del malware). Per far fronte a questa circostanza, Microsoft migliorò il firewall di sistema ribattezzandolo Windows Firewall, veicolandolo tramite Service pack 2 per Windows XP e attivandolo di default su tutte le installazioni. In questo modo, anche in caso fossero emerse altre debolezze, i servizi del sistema operativo potevano essere schermati a priori.

Perché il firewall di Ubuntu è inattivo?

Il kernel di Linux è fornito di un componente chiamato netfilter che permette di analizzare il traffico di rete ed, eventualmente, bloccare i pacchetti prima che raggiungano la propria destinazione. L'utente può specificare le proprie regole tramite un programma di nome iptables, oppure con una miriade di strumenti più semplici -grafici e non- che a questo si appoggiano. In altre parole: le funzionalità di firewall sono tutte presenti e molto mature.

Ciò nonostante, una distribuzione come Ubuntu ha scelto di mantenere inattivo il componente, lasciando passare tutto il traffico. Perché? Le motivazioni sono molteplici.

Innanzitutto, la documentazione di Ubuntu spiega che l'installazione di default del sistema operativo non espone alcun servizio sulla rete (se non per l'infrastruttura base). Di conseguenza, di default non c'è pressoché nulla da proteggere poiché dietro alle porte non ci sono servizi in grado di rispondere (e, quindi, di subire abusi)

Un'altra motivazione è prettamente "storica". Per Microsoft, sono stati necessari molteplici incidenti di sicurezza gravissimi prima che il gruppo decidesse di attivare un firewall di default. In ambito Linux, non si è mai verificato nulla di paragonabile: sebbene siano stati rintracciati alcuni worm, nessuno di essi è mai stato concretamente in grado di propagarsi oltre la soglia minima di rilevanza.

Infine, c'è la compatibilità: introdurre un componente di filtraggio finisce sempre per creare qualche disagio agli utenti, soprattutto a quelli meno "avanzati" che costituiscono un po' il pubblico ideale per questa distribuzione e che potrebbero non riuscire a risalire al firewall come ragione per cui il programma appena installato non funziona correttamente.

Le altre posizioni del mondo Linux

La politica di Ubuntu è condivisa da Debian, la distribuzione sulla quale è basata, e da molte altre pacchettizzazioni: quasi nessuno attiva il firewall di default.

La principale eccezione è costituita da Red Hat Enterprise Linux e le sue derivate (fra cui Fedora e CentOS sono le più popolari): a partire dalla versione 7, firewalld è attivo e "bloccante" di default.

La posizione di ArchLinux è invece controversa: sebbene il firewall sia inattivo per impostazione predefinita, la documentazione indica che è "altamente raccomandato" installarne uno.

Anche in seno alla community di Ubuntu sono emerse posizioni diverse: in questa lunga discussione sul forum ufficiale molti esprimono raccomandazioni differenti rispetto alla politica di default.