TLI risponde: devo veramente installare un firewall sul PC oppure basta Windows Firewall? [TurboLab.it]

Insieme all'antivirus, l'altro componente giudicato "indispensabile" per la sicurezza del PC è il firewall. Ma è veramente necessario installarne uno?

TLI risponde: devo veramente installare firewall PC oppure basta Windows Firewall? - windows_firewall_artwork2

Nota: questo articolo è incentrato sul mondo Windows. Per l'analoga trattazione inerente Linux vedi "TLI risponde: devo installare un firewall su Linux/Ubuntu?".

Saltiamo alle conclusioni

In condizioni standard, è consigliabile mantenere un firewall attivo sul PC, in particolar modo per difenderlo da altri sistemi compromessi della rete locale (cablata o Wi-Fi). Checché ne dicano i detrattori (male informati), quello fornito in dotazione a Windows è più che adeguato. Spingersi ad installare un prodotto di terze parti non porta ad alcun beneficio realmente tangibile.

Un passo indietro: che cos'è il firewall

Per capire se sia necessario o meno installare un firewall, è bene ricordare brevemente di che cosa si tratti e quale sia la sua funzione.

Un personal firewall, come quello al quale ci si riferisce in quest'ambito, è un programma adibito ad analizzare il traffico di rete e stabilire quali pacchetti bloccare e quali lasciar passare. Il suo scopo principale è proteggere le applicazioni e le porte di comunicazione, evitando che esse possano essere contattate indiscriminatamente e, potenzialmente, abusate.

Questo comportamento si chiama protezione del traffico in ingresso.

Da un punto di vista tecnico, questa classe di software è in grado anche di gestire le comunicazioni in uscita, ovvero quelle generate dal sistema locale e rivolte ad altri computer. In altre parole, il firewall può stabilire, consultando le regole impostate, se un'applicazione possa comunicare sulla rete oppure se debba essere bloccata.

Firewall e traffico in uscita

Il personal firewall, in definitiva, altro non è che un programma in esecuzione sullo stesso sistema sul quale risiedono le altre applicazioni da proteggere/controllare. Questo non pone grossi problemi per la gestione del traffico in ingresso, ma costituisce una limitazione gigantesca per quanto riguarda quello in uscita: è evidente, infatti, che un qualsiasi software in esecuzione localmente rischia di riuscire a chiudere il processo del firewall stesso o, quantomeno, mimetizzarsi e sfuggire al controllo.

Vi sono alcuni espedienti che il sistema operativo adotta per proteggere il processo del firewall, ma esistono anche altrettante tecniche per aggirarli: la più conosciuta prende il nome di dll injection, ma un processo ostile potrebbe anche semplicemente "pilotare" un'applicazione autorizzata, come il browser web, e farlo fungere da "intermediario" per scaricare e caricare dati.

Insomma: per motivi intrinseci all'architettura dell'elaboratore e delle reti di telecomunicazione, il personal firewall è ben poco affidabile come controllore del traffico in uscita: una volta che un programma è in esecuzione, non vi sono garanzie che il controllore sia efficace in maniera realmente affidabile nel contenerlo. L'unico modo per gestire la situazione è prevenire del tutto l'esecuzione di codice che non debba uscire sulla rete, ma questo è compito dell'utente (magari coadiuvato dall'antivirus) e non del firewall.

Windows Firewall

La lunga premessa è fondamentale per capire il contesto per il quale sia progettato Windows Firewall, ovvero quel componente integrato e attivo per impostazione predefinita su tutte le connessioni di rete create dal sistema operativo Microsoft.

TLI risponde: devo veramente installare firewall PC oppure basta Windows Firewall? - windows_firewall_abilitato

Windows Firewall lavora "dietro le quinte", in modo invisibile all'utente, e blocca qualsiasi connessione in ingresso che non sia rivolta ad un programma preventivamente autorizzato. In questo, il controllore eccelle e non sono noti problemi di sicurezza che possano consentire di scavalcare il suo operato.

D'altro canto, Windows Firewall non offre alcun controllo sul traffico in uscita (o, meglio: le funzionalità ci sono, ma richiedono un'esplicita configurazione manuale tramite un'interfaccia chiaramente riservata ad un pubblico di nicchia)

TLI risponde: devo veramente installare firewall PC oppure basta Windows Firewall? - windows_firewall_advanced

Di conseguenza, ogni applicazione in esecuzione sul PC è libera di usare la rete e scambiare dati con un sistema remoto, facendo "scattare" l'interfaccia del software per la richiesta di autorizzazione esplicita solo in caso l'applicazione tentasse di aprire porte di comunicazione contrattabili dall'esterno (e, quindi, si torna alla protezione del traffico in ingresso).

TLI risponde: devo veramente installare firewall PC oppure basta Windows Firewall? - Avviso di sicurezza Windows_1

Proprio a causa dello scarsa focalizzazione sul traffico in uscita, Windows Firewall viene spesso giudicato negativamente dai commentatori. Le aziende che commercializzano suite di sicurezza, da parte loro, approfittano di questa presunta lacuna per equipaggiare i propri prodotti con interfacce sempre più accattivanti, tramite le quali gestire anche questo aspetto. Alla luce di quanto detto in apertura, però, l'affidabilità reale di un personal firewall nel gestire il traffico in uscita è altamente discutibile.

I router domestici "sono" un firewall (verso Internet)

Sia come sia: la verità è che la discussione incentrata sul personal firewall in ambito domestico tende ad essere, oggi, più "accademica" che altro. La maggior parte di noi si collega ad Internet mediante un router ADSL basato su un meccanismo chiamato NAT (Network Address Translation) che induce il blocco completo di tutte le connessioni in ingresso.

Questo sbarramento è più un (benefico!) effetto collaterale che non qualcosa di realmente intenzionale. Nello specifico, il blocco è causato dal fatto che, per il mondo esterno, è il router stesso a collegarsi ad Internet, e non lo specifico PC che noi utilizziamo. Di conseguenza, ogni connessione in ingresso viene rivolta al router stesso, e non al PC. Il router, non avendo in prima persona servizi attivi sulle porte contattate, non risponde e, di conseguenza, il traffico viene bloccato ancor prima di raggiungere il computer.

Questo è il motivo per cui è necessario, in caso si desideri eseguire applicazioni in grado di accettare connessioni in ingresso (server HTTP/FTP/SSH/VPN ma anche software di filesharing che debbano rimanere in attesa di connessioni per condividere i file locali) svolgere la procedura nota come "aprire le porte sul router", locuzione altamente fuorviante per indicare la configurazione per la quale si predispone il router ad inoltrare il traffico in entrata verso il nostro PC (port forwarding).

È evidente, quindi, che il router svolge (indirettamente) lo stesso compito di un firewall, ovvero quello di bloccare il traffico in ingresso. Alcuni modelli vanno anche oltre, offrendosi di arginare anche le connessioni in uscita (sebbene con modalità molto meno immediate da capire rispetto a quelle esibite dai personal firewall).

Firewall sempre attivo in rete locale

L'unico aspetto al quale prestare attenzione è relativo alla rete locale: il meccanismo appena descritto tutela infatti il PC solo sul fronte Internet, ma non funziona all'interno della rete locale (LAN). I router domestici lasciano infatti passare in maniera del tutto trasparente i pacchetti generati dai sistemi collegati alle porte oppure via Wi-Fi: ecco quindi che, in caso un amico portasse il proprio notebook infetto in casa nostra per sfruttarne la nostra connettività, potrebbe contagiare anche gli altri computer collegati. In questo scenario, mantenere operativo Windows Firewall attenua il rischio in modo significativo.