Ok, sinceramente stasera volevo postare un nuovo capitolo di D-Odissey, visto che sono giunto ad una soluzione temporanea per le mie vicissitudini, ma credo che attenderò ancora un po’, visto che ho appena finito di scrivere la mia tesina per l’esame (ho l’orale praticamente domani, ma se sono riuscito a scrivere la tesina della mia amica in un pomeriggio, volete che non possa scrivere la mia in un paio d’ore?), quindi scrivo una cosa più di getto.
Sono abbastanza stanco visto l’ora e vorrei sicuramente andare a leggermi Il Re dei Torti di Grisham (che pare promettere bene), ma visto che ancora una volta slashdot mi ha dato il la, vorrei parlare dei filtri che Wind ha imposto alla mia linea.
Qualcuno lo saprà già, perché se ne era parlato assieme, mentre per altri sarà una cosa interessante da scorprie, che Wind/Infostrada filtra alcune porte su tutte le loro ADSL (perlomeno quelle private), tra cui la 25 (posta in uscita), la 110 (posta in entrata) e ultimamente il blocco usato da NetBIOS e Samba (445, 138-140, 135).
Inizialmente ho trovato una gran rottura di scatole il filtro sulla porta 25, che mi impediva di ricevere posta direttamente al mio dominio, ma poi ho capito che questi filtri, per quanto siano noisi per un geek, possono in qualche modo salvare la rete, specialmente in Italia.
Partiamo dal filtro sulle porte 25 e 110. Questo impedisce di lasciare pc con installato, per esempio, Windows 2000 Server con IIS, come open relays, fungendo da base per gli spammer, e chiunque abbia girato per un po’ it.news.net-abuse sa quanto gli open relays siano un grosso problema di spam. Per quanto riguarda i contro, ricevere la posta in un proprio dominio sì ‘fa figo’, ma non è esattamente il massimo della comodità, anche per ciò che riguarda i filtri antispam, è sicuramente meglio utilizzare un alias filtrato tramite spamassassin come sourceforge. Per chi volesse, come me, avere un modo per inviare le mail da portatile tramite il pc di casa usando il mail server del proprio provider, la cosa migliore è sicuramente utilizzare un’altra porta, in fondo il filtro è sulla porta, non è a livello applicativo, così si migliora anche leggermente la sicurezza. Inoltre è sempre possibile utilizzare SSL in modo da cifrare la connessione, la porta ssmtp di default non è filtrata.
Idem per il filtro sulla porta 110. Chi volesse, come me, avere a disposizione le email col portatile ovunque si trovi, farebbe meglio ad utilizzare IMAP over SSL, oppure un tunnel cifrato via SSH. È una cosa molto più sicura e consuma solo un minimo di risorse in più. Non dimentichiamo poi che non erano pochi i worm che utilizzavano la porta 110 per la replica, proprio perché è una classica porta di servizio.
Per ciò che riguarda le porte NetBIOS/Samba, è sicuramente una follia lasciarle aperte a cani e porci su internet. Come minimo si dovrebbero impostare funzionanti solo per una limitata subnet, e la cosa migliore sarebbe direttamente filtrarle con un firewall sulla macchina (o utilizzare un firewall hardware come faccio io). Innanzitutto chi usa Windows 2000 e XP ha la condivisione C$ (e qualsiasi altra unità di disco rigido) aperta, con, come password, quella di Administrator, che non raramente è vuota o è 123, poi abbiamo visto come Blaster e tantissimi altri virus riescano a riprodursi proprio sfruttando tali porte che Windows lascia appunto aperte a cani e porci.
Ok i filtri sono un problema abbastanza grave per la libertà degli utenti (ci pensate se tutti i provider bloccassero l’accesso alle classiche porte del P2P? ok si possono sempre cambiare quelle di default in effetti), ma a questo punto comincio a vederle come una liberazione da quelle stupide persone che non sanno neanche configurare un banalissimo firewall, e finiscono per infettare intere reti, occupando non più solo banda dei server mail, ma anche quella comune, a causa di scansioni e invio di virus!
Certo però si può vedere come il filtraggio a livello di server dello spam e dei virus è diventato un business, quindi ben pochi provider hanno intenzione di fare qualcosa a tal proposito, vediamo per esempio la funzione Libero&Sicuro di Wind. E lo è diventato anche il firewall centralizzato (anche questo disponibile non ricordo se a pagamento o gratuitamente presso Wind), che però consiglierei a tanti niubbi di usare, perché è molto più veloce e diretto che configurare un firewall sulla propria macchina, quando non si è neanche capaci di capire a cosa serve.
In definitiva, ben vengano i filtri sulle porte incriminate, basta che questi siano limitati a queste porte e non vadano poi a infiltrarsi su altre porte di default.
