Controllare quali programmi si connettono a Internet è uno di quei compiti che molti utenti trascurano... finché qualcosa non va storto. Aggiornamenti automatici che interrompono le funzionalità, app con fastidiose pubblicità, giochi che permettono ai tuoi figli di parlare con sconosciuti o software che inviano più dati dell'account del necessario. Questi sono solo alcuni esempi del perché è importante padroneggiare le regole del firewall per bloccare le applicazioni.
La buona notizia è che, sia in Windows (ad esempio, puoi imparare a Bloccare i programmi in Windows 11) come in macOS e persino Linux, hai diversi modi per autorizzare o bloccare il traffico di rete per ogni appEsamineremo questo aspetto in modo attento e dettagliato, utilizzando un linguaggio chiaro e pratico, sia che si utilizzino i firewall integrati nel sistema, soluzioni di sicurezza di terze parti (come ESET), firewall per applicazioni web (WAF) o manipolando iptables su sistemi GNU/Linux.
Perché bloccare le app nel firewall può farti risparmiare un sacco di problemi
Un firewall agisce come un filtro che decide quale traffico entra e quale traffico esce del tuo team o della tua rete, seguendo una serie di regole definite da te o dal sistema stesso. Il paragone tipico è quello del controllo delle frontiere: tutto ciò che entra ed esce viene controllato e tutto ciò che non soddisfa i criteri viene escluso.
Bloccando determinate app con il firewall, puoi per impedire connessioni non autorizzate, ridurre il rischio di malware e limitare l'invio di informazioni che non ti interessa condividere. Inoltre, impedisci a determinati programmi di richiedere dati da server esterni o di scaricare contenuti che potrebbero essere irrilevanti o addirittura pericolosi.
Nella vita di tutti i giorni, questo si traduce in cose molto concrete: Interrompere gli aggiornamenti automatici che potrebbero compromettere la compatibilità e rimuovere la pubblicità incorporata in alcune app gratuite. o impedire a un programma di connettersi quando ci si trova su una rete Wi-Fi pubblica con livelli di sicurezza discutibili. Un'intera serie di fastidi e rischi che è possibile affrontare con un paio di regole ben definite.
Se in casa ci sono dei bambini, un firewall è un alleato potente: È possibile bloccare il traffico online proveniente da determinate piattaforme di gioco o social media. per impedire loro di interagire con estranei senza supervisione. Non è una soluzione di controllo parentale completa, ma è un pilastro importante di tale protezione.
Negli ambienti professionali e didattici, il controllo delle app tramite il firewall aiuta a prevenire le perdite di dati, ridurre la superficie di attacco e limitare l'uso di strumenti non autorizzatiLa chiave è trovare un equilibrio: non si tratta di bloccare tutto, ma di consentire solo ciò di cui si ha realmente bisogno.
Blocca le app in Windows 10 e 11 con Windows Firewall
In Windows, il metodo più diretto per controllare quali programmi accedono a Internet è utilizzare Firewall Windows Defender con sicurezza avanzataNon è l'interfaccia più intuitiva al mondo, ma consente un controllo molto preciso tramite regole in entrata e in uscita.
a bloccare l'accesso a Internet per un programma specifico In Windows 10 o 11, la procedura tipica prevede la creazione di una regola in uscita associata al file eseguibile dell'applicazione. In questo modo, anche se l'app tenta di connettersi, il firewall bloccherà il traffico prima che lasci il computer.
Di solito si lavora con il percorso completo del file .exe. I file eseguibili si trovano solitamente in "C:\Programmi" o "C:\Programmi (x86)"seguito dal nome della cartella dell'applicazione e dall'eseguibile principale. Conoscere questo percorso o individuarlo con Esplora risorse è fondamentale per creare correttamente la regola.
Una volta individuata l'applicazione, è possibile definire una regola che Blocca la connessione su tutti i profili di rete: Dominio, Privato e PubblicoIn questo modo l'app non si connetterà alla rete Wi-Fi di casa, alla rete aziendale o a un hotspot pubblico, a meno che non si modifichi tale impostazione.
Come creare una regola di uscita in Windows per bloccare un'app
Il flusso di lavoro classico per bloccare un'app con una regola in uscita in Windows Firewall Si basa sulla console "Sicurezza Avanzata", dove è possibile creare, modificare ed eliminare regole personalizzate. Anche se può sembrare complicato, dopo un paio di ripetizioni diventa tutto abbastanza automatico.
Su questa console, il Le "regole in uscita" controllano ciò che il tuo computer tenta di inviare alla reteSe blocchi un'app qui, tutto il traffico in uscita da essa verrà bloccato. Puoi quindi consultare questo elenco per ricordare cosa hai bloccato e sbloccarlo in qualsiasi momento.
Quando si configura la regola, verranno visualizzate le opzioni per scegliere il tipo di regola (in questo caso, "Programma"), il percorso all'eseguibile, l'azione da eseguire e i profili di rete a cui si applica. L'azione chiave è "Blocca la connessione"che è ciò che garantisce che la comunicazione non porti a nulla.
Il passaggio finale consiste nell'assegnare alla regola un nome riconoscibile. Usare nomi chiari e coerenti ti farà risparmiare grattacapi quando, dopo un certo periodo di tempo, è necessario individuare la regola che sta influenzando un'applicazione specifica per consentirla nuovamente.
Blocco temporaneo dei programmi con Windows Firewall
Ci sono momenti in cui non vuoi bloccare in modo permanente l'accesso a Internet di un'applicazionema solo per un po': mentre stai facendo un test, mentre stai utilizzando una rete specifica o mentre sei in classe con gli studenti, ad esempio.
Il firewall di Windows non ha un pulsante "pausa" per le app, ma consente di attivare e disattivare le singole regole con un clic destroIn pratica, funziona come un interruttore per quell'app: quando la regola è attiva, la connessione viene interrotta; quando la si disattiva, il programma riacquista l'accesso alla rete.
Questa tecnica ha il vantaggio che Non è necessario eliminare la regola o ricrearla da zero. Quando vuoi riprendere il blocco, passa semplicemente da "Attiva regola" a "Disattiva regola" a seconda delle tue esigenze.
Se si lavora con diverse applicazioni e policy, è una buona idea mantenere una piccola Documentazione interna di quali regole sono temporanee e quali sono permanentiper non ritrovarti con un firewall pieno di regole dimenticate di cui non sai più se hanno ancora senso.
Creare una "whitelist" delle applicazioni consentite in Windows
Oltre al blocco, il firewall di Windows ti consente definire quali programmi hanno il permesso esplicito di passare attraverso il firewallQuesta viene solitamente chiamata "whitelist" e rappresenta il complemento ideale all'approccio basato sul blocco dei casi individualmente.
Nella schermata "Consenti un'app o una funzionalità tramite Windows Defender Firewall" verrà visualizzato un elenco di programmi e servizi. Selezionando o deselezionando le caselle "Privata" e "Pubblica", puoi decidere su quale tipo di rete possono comunicare.Anche deselezionare completamente un'app può essere un metodo di blocco rapido.
Se il programma a cui sei interessato non è presente in quell'elenco, puoi utilizzare l'opzione per "Consenti a un'altra applicazione" di aggiungere manualmente il suo eseguibileSebbene il nome suggerisca che lo consentiate, una volta inserito nell'elenco nulla vi impedisce di deselezionarlo per bloccarlo. È un po' controintuitivo, ma l'interfaccia è progettata così.
Si noti che Abilitare un'app su reti pubbliche significa esporla ad ambienti potenzialmente ostilicome il Wi-Fi di un bar o di un hotel. Per i servizi che gestiscono dati sensibili, è molto più saggio affidarsi a reti private affidabili.
Altri modi per interrompere l'accesso a Internet in Windows
Se quello che stai cercando è una disconnessione completa dalla connettività, senza tante sfumature, La modalità aereo resta la scorciatoia più potente e veloceAttivandola dal Centro operativo, tutte le connessioni (Wi-Fi, dati mobili, ecc.) verranno immediatamente interrotte, quindi nessuna app sarà in grado di comunicare con il mondo esterno.
Nei casi in cui il firewall di Windows non è sufficiente, esiste un ecosistema abbastanza ampio di firewall di terze parti per WindowsMolti di questi sono gratuiti. Questi strumenti offrono in genere interfacce più intuitive, regole basate su procedure guidate e funzionalità aggiuntive come il monitoraggio delle connessioni in tempo reale o profili preconfigurati.
Vale la pena ricordare che una configurazione avanzata errata può essere anche peggio che non toccare nulla: Creare, modificare o eliminare regole senza comprenderne appieno l'effetto può creare falle nella sicurezza o danneggiare applicazioni critiche.È sempre meglio procedere lentamente, testare le cose e, se possibile, conservare un backup delle impostazioni.
Infine, se a un certo punto le cose si complicano o inizi a notare un comportamento strano, puoi sempre ricorrere all'opzione di ripristinare il firewall allo stato predefinitoÈ una sorta di pulsante di "ripristino delle impostazioni di fabbrica" per il firewall, molto utile quando non si sa quale modifica ha danneggiato cosa.
Regole del firewall nei prodotti ESET per Windows (Home e Small Office)
Se utilizzi una suite di sicurezza come quella di ESET su Windows, hai un firewall integrato del prodotto Ciò consente di creare regole specifiche per consentire o bloccare la comunicazione tra le applicazioni. Questo livello di filtraggio integra o sostituisce il firewall nativo di Windows, a seconda della configurazione.
Dalla finestra principale del programma è possibile accedere al Impostazioni avanzate premendo il tasto F5All'interno, la sezione rilevante è "Protezione dell'accesso alla rete", dove vengono visualizzate la sezione "Firewall" e il pulsante "Modifica" accanto a "Regole".
Lì troverai l'elenco delle regole esistenti e l'opzione per "Aggiungi" per creare una nuova regolaIn questo modo si definisce un nome descrittivo, si seleziona l'azione (consenti, blocca, chiedi, ecc.), si indica l'applicazione interessata e la direzione del traffico.
Espandendo il campo “Applicazione” potrai Esplora il sistema fino a trovare l'eseguibile dell'app che desideri controllare.In "Direzione" puoi decidere se la regola si applica alle connessioni in entrata, in uscita o a entrambe, il che offre una notevole flessibilità a seconda del tuo obiettivo.
Una volta configurati questi parametri, confermare con “OK” e poi con i diversi pulsanti “Accetta”. Salvare le modifiche e attivare la regola.Da quel momento in poi, il firewall ESET applicherà la policy scelta a tutto il traffico generato da quell'applicazione, integrandosi con il resto della suite (rilevamento delle minacce, registrazione, ecc.).
Windows Firewall: profili di rete, impostazioni aggiuntive e sicurezza
Oltre alle regole per programma, il firewall di Windows consente di regolare come si comporta a seconda del tipo di rete a cui sei connesso: dominio (solitamente ambienti aziendali), privato (la tua casa, il tuo piccolo ufficio) o pubblico (reti aperte o non attendibili).
La differenza principale tra contrassegnare una rete come privata o pubblica è il livello di esposizione che si accetta: Nelle reti private solitamente consenti ad altri dispositivi di vederti e persino di connettersi a te., mentre sulle reti pubbliche si preferisce passare il più inosservati possibile.
In ogni profilo è possibile abilitare o disabilitare il firewall e regolare opzioni come “Blocca tutte le connessioni in entrata, comprese quelle dall’elenco delle applicazioni consentite”Questa casella trasforma il profilo in una modalità estremamente restrittiva: tutto ciò che tenta di entrare viene rifiutato, anche se l'app è contrassegnata come consentita.
Sono disponibili anche scorciatoie per funzioni come Consenti applicazioni specifiche attraverso il firewall, esegui lo strumento di risoluzione dei problemi di rete, configura le notifiche di blocco o accedi alle "Impostazioni avanzate" per modificare le regole di sicurezza di ingresso, uscita e connessione.
Se la configurazione diventa complicata o sospetti che qualcosa sia cambiato senza il tuo consenso, il sistema stesso offre un'opzione per ripristinare i firewall ai loro valori predefinitiIn questo modo vengono cancellate le regole personalizzate e ripristinate le impostazioni di fabbrica o i criteri stabiliti dalla tua organizzazione, se ti trovi in un ambiente gestito.
Regole in WAF (Web Application Firewall) e il loro ruolo nella protezione dei servizi online
Quando parliamo di applicazioni che vivono su Internet (pagine web, API, servizi SaaS…), entra in gioco un altro elemento chiave: l’ WAF o Web Application FirewallA differenza di un firewall di sistema, un WAF si concentra sull'ispezione delle richieste HTTP/HTTPS dirette a un'applicazione web e decide cosa farne.
Le regole di un WAF descrivono Cosa dovrebbe considerare il sistema in ogni richiesta (intestazioni, parametri, corpo, indirizzo IP, percorso, ecc.), quali condizioni attivare e quale azione intraprendere? quando tale combinazione è soddisfatta. Diverse regole, organizzate e prioritarie, costituiscono quella che viene definita una "politica di sicurezza".
Poiché le applicazioni web cambiano costantemente e Ogni giorno compaiono nuove minacceLe policy WAF non possono essere statiche. È necessario aggiornare e perfezionare costantemente questo insieme di regole per includere nuovi percorsi, parametri, servizi e vettori di attacco.
I fornitori WAF in genere includono set di regole predefiniti "pronti all'uso"In base alle firme di attacchi noti, elenchi di IP dannosi, modelli di iniezione, ecc. Più completo e aggiornato è questo set iniziale, migliore sarà il livello di protezione offerto dal prodotto iniziale.
Nelle soluzioni avanzate, queste regole sono alimentate da intelligence sulle minacce globali (feed IP dannosi, honeypot, reti di inganno, apprendimento automatico) che rileva comportamenti sospetti in tempo reale e adatta automaticamente la politica di sicurezza per tenere il passo con gli aggressori.
Metadati, condizioni, azioni e priorità nelle regole WAF
La progettazione di una regola WAF in genere include diversi blocchi: metadati, condizioni e azioneComprendere questo schema aiuta a creare regole più pulite e più facili da mantenere.
Nei metadati si definisce un nome chiaro, una descrizione e lo stato della regola (attivata o disattivata)Queste informazioni vengono registrate anche negli eventi di sicurezza, in modo che quando si verifica un'azione, si sappia subito quale regola è stata applicata e perché.
Le condizioni rappresentano il "se questo accade...". È possibile configurare più condizioni per regolaAd esempio: se il percorso è /login, il metodo è POST, il parametro "user" contiene caratteri sospetti e l'indirizzo IP rientra in un intervallo specifico, la regola entra in gioco solo quando tutte queste condizioni sono soddisfatte.
L'azione è "fai quest'altra cosa". A seconda del tipo di regola, puoi bloccare la richiesta, consentirla, reindirizzarla, modificare le intestazioni, limitare la velocità del traffico, contare i tentativi o applicare controlli aggiuntiviOgni famiglia di azioni è spesso raggruppata in diversi tipi di regole (reindirizzamento, sicurezza, riscrittura, limitazione della velocità, ecc.).
A livello di esecuzione, i WAF in genere stabiliscono un ordine di priorità tra i tipi di regoleAd esempio, prima le regole di reindirizzamento dei processi, poi le regole di sicurezza, infine le regole di riscrittura... e all'interno di ciascun gruppo, assegna una priorità interna alle regole. In questo modo, puoi controllare quali regole hanno la precedenza quando diverse potrebbero essere applicate alla stessa richiesta.
Regole predefinite, regole personalizzate e modelli di sicurezza positivi/negativi
Fornitori come Radware organizzano le loro politiche WAF combinando regole predefinite (gestite automaticamente dal produttore) con regole personalizzate (definite dal cliente), per perfezionare il comportamento in ambienti molto specifici.
È possibile generare regole predefinite da algoritmi di apprendimento automatico, analisi massiva dei dati sul traffico e feed di aggressori attiviCiò consente di adattare la protezione alle nuove vulnerabilità e ai nuovi modelli di attacco senza che l'amministratore debba passare l'intera giornata a modificare la configurazione.
Le regole personalizzate, d'altra parte, sono quelle che crei tu stesso per adattare il WAF alla logica specifica della tua applicazione: proteggere determinati percorsi, applicare quote agli endpoint API, bloccare paesi specifici, controllare la consegna delle risposte, gestire i bot, ecc.
Una buona politica WAF combina modello di sicurezza negativo (che definisce cosa è proibito) e modello di sicurezza positivo (che definisce cosa è permesso)Con l'approccio negativo, ci si affida a elenchi di firme e pattern che si sa essere dannosi. Con l'approccio positivo, si definisce quale tipo di input è valido per ciascun parametro e si blocca tutto ciò che non rientra in tali intervalli, il che è fondamentale per bloccare gli attacchi zero-day.
Lavorare esclusivamente con regole positive o negative può diventare molto costoso e soggetto a errori se eseguito manualmente. Ecco perché i moderni WAF incorporano automazione e generazione automatica di policy, che osservano le transazioni legittime, profilano il traffico normale e propongono regole di "autorizzazione" basate su tale comportamento.
Generazione automatica e ottimizzazione continua delle policy WAF
Per ridurre al minimo il lavoro manuale e il rischio di creare lacune di sicurezza, molti WAF implementano meccanismi di generazione automatica di policy mediante apprendimento automaticoIl sistema osserva come si comporta il traffico legittimo, quali valori hanno solitamente i parametri, quali percorsi vengono utilizzati e come, e da lì suggerisce o crea regole che descrivono tale modello come accettabile.
Questo approccio consente adattare i profili di sicurezza positivi senza fare troppo affidamento sull'occhio umanoriducendo al minimo gli errori di configurazione che potrebbero esporre un'applicazione o, al contrario, bloccare eccessivamente gli utenti autorizzati.
Allo stesso tempo, è essenziale che il WAF effettui revisioni periodiche. registri delle attività e generare proposte di ottimizzazione continuaL'idea è quella di mantenere un elevato livello di sicurezza riducendo al contempo i falsi positivi, in modo che la protezione non interferisca con il normale traffico.
La combinazione di apprendimento automatico, revisione dei registri e intelligence sulle minacce esterne consente al WAF si evolve di pari passo con la tua applicazione e con l'ecosistema di attacchi che la circonda.senza costringerti a rifare la polizza da zero ogni pochi mesi.
Blocco delle app in Linux: iptables, gruppi di utenti e filtri di destinazione
Nei sistemi Linux l'approccio è diverso: Non esiste un pannello grafico universale, ma esiste un potente sottosistema di filtraggio dei pacchetti basato su iptables o nftables.A seconda della distribuzione e della versione, è possibile bloccare il traffico a livello globale, per utente, per gruppo o per indirizzo di destinazione.
Una prima idea per bloccare un programma specifico potrebbe essere interrompere l'accesso agli indirizzi o ai domini che utilizziPer scoprire queste destinazioni hai diverse opzioni: usare netstat (o ss) mentre l'app si connette, oppure monitorare le richieste DNS con servizi come dnsmasq eseguiti in modalità dettagliata.
Una volta identificati i domini, puoi reindirizzarli alla tua macchina aggiungendo voci del tipo “127.0.0.1 domain_to_block” in /etc/hostsPertanto, qualsiasi tentativo di risolvere quel dominio rimarrà locale e l'app non sarà in grado di contattare il server reale.
Se preferisci lavorare direttamente con gli IP, puoi anche creare regole iptables come "iptables -I OUTPUT -s ip_a_block -j DROP"Queste regole scartano tutto il traffico in uscita verso quell'indirizzo. Per garantire che sopravvivano ai riavvii, è prassi comune includerle in script di avvio come /etc/rc.local (prima della riga "exit 0") o utilizzare sistemi di salvataggio/ripristino delle regole.
Lo svantaggio di questo approccio è che Il blocco colpisce l'intero sistemaQualsiasi applicazione che voglia comunicare con quei domini o IP sarà interessata, non solo quella a cui sei interessato. Inoltre, quegli indirizzi potrebbero appartenere a servizi condivisi di cui hai bisogno in altri contesti.
Filtraggio per gruppo di utenti in Linux per bloccare solo determinate app
Un'alternativa più fine è appoggiarsi il sistema di permessi e gruppi utente LinuxL'idea è quella di creare un gruppo speciale per i processi "filtrati" e dire a iptables di bloccare tutto il traffico proveniente dai processi in esecuzione con quel gruppo.
Il flusso tipico sarebbe qualcosa del genere: prima Si crea un nuovo gruppo (ad esempio, "filtrato") con groupaddQuindi aggiungi gli utenti che vuoi controllare (ad esempio, "studente") al gruppo con adduser, in modo che anche quegli utenti appartengano a quel gruppo.
Successivamente, definisci la regola iptables, ad esempio “iptables -A OUTPUT -m owner –gid-owner filtered -j REJECT”Ciò indica al sistema che qualsiasi pacchetto di output generato da un processo il cui gruppo effettivo è "filtrato" deve essere rifiutato.
Per avviare un programma in quel gruppo specifico, puoi usare il comando “sg filter «nomeprogramma»”In questo modo, il gruppo primario del processo viene modificato in "filtrato" durante l'esecuzione. Da quel momento in poi, le restrizioni di iptables si applicano solo a quei processi, senza influire sul resto del sistema.
Questo approccio consente progettare gruppi diversi con diversi livelli di accessoCiò consente ad alcune app di inviare traffico solo a determinate destinazioni o protocolli, mentre altre vengono completamente bloccate. Questa funzionalità è particolarmente utile in ambienti didattici o condivisi, dove più utenti condividono un computer ed è necessario limitare il traffico solo a determinati strumenti.
Quando si combina questa tecnica con il filtraggio di domini e porte, È possibile creare policy molto precise per ogni contesto di utilizzo, anche se a costo di una maggiore complessità amministrativa e della necessità di testare approfonditamente ogni modifica.
