Cos’è il port forwarding e come funziona con una VPN

Come funziona il port forwarding

Il port forwarding consiste nel comunicare al sistema di traduzione degli indirizzi di rete (Network Address Translation, NAT) del router di consentire il passaggio delle connessioni a porte specifiche. Pensa al NAT come a un servizio di post-forwarding che deve aprire il pacchetto prima di inoltrarlo. Il port forwarding comunica al sistema la destinazione del pacchetto senza che venga aperto. Continua la lettura se desideri delle spiegazioni per le parti più tecniche!

Cosa sono (e che ruolo svolgono) le porte?

In termini più tecnici, le porte sono degli indirizzi che un dispositivo assegna a servizi ed app che necessitano di un input dall’esterno (di solito internet). Per motivi matematici, i numeri di porta vanno da 0 a 65.535. Le prime 1024 sono tipicamente assegnate ai servizi più comuni. 

A titolo di esempio, POP3, il protocollo utilizzato da un client di posta elettronica per recuperare la posta dal server, utilizza la porta 110. 

Inoltre, quando i dati internet vengono inviati e ricevuti, il numero di porta viene aggiunto all’indirizzo IP (Protocollo Internet) del dispositivo (simile all’indirizzo di casa del dispositivo, che però si trova su internet), consentendo così ai vari processi coinvolti di sapere la destinazione di un determinato pacchetto. 

Nel caso in cui il tuo IP fosse 321.45.678.90 e utilizzassi un client di posta elettronica POP3, i dati indirizzati al client di posta elettronica finirebbero all’indirizzo 321.45.678.90:110. 

Tuttavia a tal punto entra in gioco il NAT.

Che ruolo svolge il NAT?

Il Network Address Translation (NAT) esiste per via della scarsità di indirizzi IP online. Solamente l’indirizzo IP del router è univoco: il cosiddetto “IP pubblico” poiché è quello che i servizi online possono vedere. I dispositivi connessi (telefoni, computer portatili, lavatrici intelligenti) ottengono IP non univoci per comunicare solo con il router, definiti “IP privati” in quanto nessuno su internet è in grado di vederli.  

Il NAT raccoglie i pacchetti dati dai dispositivi connessi, ne annota gli indirizzi, aggiunge il proprio indirizzo univoco e li inoltra online. Tuttavia, chiunque interagisca con il router può vedere soltanto il proprio indirizzo IP, mentre gli IP dei dispositivi connessi al router rimangono invisibili. Il problema si presenta quando si desidera connettersi a tali dispositivi al di fuori della rete domestica.

Che cosa ha a che fare ciò con il port forwarding?

Il port forwarding comunica al NAT di aspettarsi e consentire le connessioni esterne per una specifica combinazione di indirizzi IP e porte. Configurandolo su un router, è possibile attivare facilmente le connessioni ad altri dispositivi connessi al router. In questo modo, la rete domestica si espande fino a comprendere tutti gli straordinari gadget che possiedi.

Desideri connetterti al tuo fornello Internet of Things mentre sei in vacanza? Hai bisogno di accedere al tuo computer di casa mentre sei a lavoro? Hai un baby monitor e vuoi usarlo mentre sei via? Tutto ciò è possibile grazie al port forwarding. 

È possibile eseguire il port forwarding con una VPN?

Sì è possibile. Sebbene il port forwarding potrebbe non essere necessario per la maggior parte degli utenti di VPN, esistono alcune valide ragioni per le quali potrebbe rivelarsi utile.

Accesso alla tua rete domestica

Se a casa configuri una rete privata virtuale, sicuramente vorrai accedervi anche da una posizione remota. Ed è proprio in questi casi che occorre una VPN che inoltri tali porte. 

Creazioni di server e reti domestiche sicuri

Il port forwarding con una VPN è indispensabile per creare server e reti domestiche sicure, tuttavia ciò è rivolto soltanto gli utenti più esperti.  

Tenendo presente quanto appena detto, probabilmente è chiaro il motivo per cui la maggior parte degli utenti non ha bisogno del port forwarding con una VPN; se non hai mai avuto a che fare con questo problema nella tua vita quotidiana, difficilmente l’installazione di una VPN cambierà le cose.

Qualora se ne presenti la necessità, come nel caso in cui si decida di ospitare il proprio sito web su un server a casa, hai la possibilità di configurare manualmente il port forwarding, come illustrato più avanti in questo articolo. In ogni caso, ciò può essere fatto anche in automatico, semplificando la vita quotidiana dell’utente. Il tutto avviene tramite l’Universal Plug and Play.

Il port forwarding automatico, noto anche come Universal Plug and Play

L’UPnP, Universal Plug and Play, è un insieme di protocolli (ovvero: regole di comunicazione) che consentono il port forwarding automatico. Ciò consente ai dispositivi della stessa rete di riconoscersi reciprocamente, di aprire le porte e di lavorare insieme senza problemi. 

La magia della “rete a configurazione zero”, ovvero la creazione di reti che non richiedono l’intervento umano per essere configurate, consente a qualsiasi dispositivo compatibile con l’UPnP di qualsiasi produttore di unirsi a una rete, ottenere un indirizzo IP, rendere nota la propria presenza e conoscere gli altri dispositivi.

Si tratta di una funzionalità molto conveniente per le reti domestiche e di piccoli uffici. Tuttavia, l’UPnP non è gradito in un ambiente aziendale, in quanto un gran numero di dispositivi, che comunicano la loro presenza e le loro funzionalità sulla rete locale, assorbirebbe molto traffico. 

Quanto è diffuso l’UPnP? Da alcune ricerche è emerso che il 76% dei router funziona utilizzando l’UPnP. I dispositivi multimediali occupano il secondo posto con il 27%. È probabile che anche tu abbia un dispositivo che funzioni con esso. 

In ogni caso, l’UPnP non è l’unico modo per gestire il port forwarding automatico. Una soluzione più sicura, anche se limitata, è il port triggering. 

Differenza tra port forwarding e port triggering 

Il port forwarding e il port triggering sono concetti simili, anche se con funzioni diverse. Con il port forwarding, la porta è sempre aperta. Ciò significa che i dispositivi al di fuori della rete hanno la possibilità di connettersi senza problemi in qualsiasi momento. 

Con il port triggering, una porta viene aperta quando un dispositivo locale all’interno della rete invia una richiesta dall’esterno della stessa. La porta rimane aperta per il tempo necessario affinché la risposta arrivi per poi richiudersi dopo un certo periodo di tempo. L’apertura non avviene quando viene richiesta dalle connessioni in entrata, rendendo quasi impossibile l’apertura delle porte da parte di dispositivi esterni alla rete.

Questo è il motivo per cui il port triggering è l’opzione meno adatta se desideri accedere a una webcam o a un PC fisso a casa da remoto.

Disclaimer: Surfshark non può essere ritenuto responsabile dei rischi per la sicurezza derivanti dall’utilizzo del port forwarding.

Gli svantaggi del port forwarding

Come già detto in precedenza, non tutti i fornitori di servizi VPN offrono il port forwarding e ciò è dovuto ad alcune valide ragioni di sicurezza informatica:

Offre agli hacker una via d’accesso 

Il port forwarding può permettere agli hacker di compromettere la tua sicurezza. Tutto ciò che devono fare è conoscere le tue porte e il tuo IP per poter eludere il firewall. 

Elude la sicurezza della VPN 

Immagina di aver scelto una VPN per proteggere la tua connessione. I tuoi dati vengono criptati e il tuo ISP viene oscurato; in questo modo nessuno può conoscere la provenienza della tua connessione. Tuttavia, qualora decidessi di utilizzare il port forwarding, cosa possibile con alcune VPN, apriresti un percorso all’interno dei tuoi sistemi che eluderebbe anche il livello di sicurezza aggiuntivo garantito dal tuo software VPN. 

Crea delle vulnerabilità per la privacy 

Il port forwarding normale può essere pericoloso, tuttavia l’UPnP presenta dei rischi per la sicurezza ancora maggiori. Il fatto che il processo sia automatizzato rende molto più facile lo sfruttamento da parte di hacker e altri soggetti malintenzionati. Nel gennaio 2019, un gruppo di hacker sfruttò delle vulnerabilità in dei router UPnP per far sì che Chromecast, smart TV e Google Home riproducessero video che invitavano gli utenti a iscriversi a PewDiePew su YouTube. 

Rende i tuoi dispositivi degli hub per hacker 

Tale situazione è più fastidiosa che dannosa, tuttavia altri sfruttamenti di UPnP hanno permesso agli hacker di utilizzare dispositivi esposti a botnet, per campagne di spam e attacchi di interruzione distribuita del servizio. E questo senza tener conto della loro capacità di installare malware, rubare dati (come credenziali di accesso e foto) e accedere ai tuoi dispositivi (come le webcam).

Come configurare il port forwarding sul proprio router – Windows 10

Se sei comunque deciso a utilizzare il port forwarding, hai la possibilità di farlo manualmente. La procedura è meno semplice rispetto a quella tramite Universal Plug and Play (che è il motivo per cui esiste), tuttavia non è niente di impossibile. 

1. Per prima cosa, bisogna assicurarsi che il tuo dispositivo possieda un indirizzo IP statico. Per questo motivo dovresti iniziare inserendo PowerShell nella barra di ricerca. 
2. Fai clic con il pulsante destro del mouse su PowerShell e scegli Avvia come amministratore. A questo punto si apre una finestra.

3. Digita Get-NetIPConfiguration e premi Enter.

4. Ora prendi nota dei valori visualizzati accanto a:
   • InterfaceIndex
   • IPv4Address
   • IPv4DefaultGateway
   • DNSServer
5. A questo punto digita -InterfaceIndex [il valore di InterfaceIndex nel passaggio n°4] -IPAddress [il valore di InterfaceIndex nel passaggio n°4] -PrefixLength 24 -DefaultGateway [il valore di IPv4DefaultGateway nel passaggio n°4]. Non è necessario inserire le parentesi, le virgolette o il punto, ma solo i numeri.

6. Premi Enter. In questo modo si imposta l’indirizzo IP statico.
7. Ora digita Set-DnsClientServerAddress -InterfaceIndex [il valore di InterfaceIndex nel passaggio n°4] -ServerAddresses [il valore di DNSServer nel passaggio n°4]. Non è necessario inserire le parentesi, le virgolette o il punto, ma solo i numeri, dopodiché premi Enter. In questo modo si imposta l’indirizzo IP statico.

8. Premi Enter. In questo modo si imposta il server DNS.

Il resto sono indicazioni generali da seguire. Le specifiche di questa misura dipendono dal router in questione:

1. Accedi al tuo router. In genere è possibile farlo inserendo l’indirizzo del router nel proprio browser.
2. Prima di passare da DHCP a Manuale, prendi nota dell’indirizzo IPv4. 
3. Individua la scheda con il port forwarding; la posizione e il nome dipendono dal router, quindi potrebbe essere necessario del tempo per trovarla. 
4. Immetti le porte di entrata e di uscita scelte e seleziona il protocollo. Per andare sul sicuro, il numero di porta deve essere compreso tra 1.000 e 65.000. Ecco un elenco delle porte utilizzate da alcuni dei processi più comuni. 
5. Inserisci il tuo indirizzo IP statico o l’indirizzo IP locale del dispositivo che desideri utilizzare per il port forwarding.
6. Fai clic su Abilita o su qualsiasi altro pulsante simile nell’interfaccia utente del tuo router. 

A questo punto hai abilitato il port forwarding sul tuo router.

Come configurare il port forwarding sul proprio router – Mac OS

Desideri abilitare il port forwarding su Mac OS? Ecco come procedere. 

1. Ottieni un indirizzo IP statico seguendo le istruzioni sul sito web di Apple.

2. Prima di passare da DHCP a Manuale, prendi nota dell’indirizzo IPv4.
   

3. Passa a Manuale. 
4. Inserisci l’indirizzo IPv4 nella riga che ora indica 0.0.0.0, 
5. Prendi nota dell’indirizzo del router.

Il resto sono indicazioni generali da seguire. Le specifiche di questa misura dipendono dal router in questione:

1. Accedi al tuo router. In genere è possibile farlo inserendo l’indirizzo del router nel proprio browser.
2. Prima di passare da “DHCP” a “Manuale”, prendi nota dell’indirizzo IPv4.
3. Individua la scheda con il port forwarding; la posizione e il nome dipendono dal router, quindi potrebbe essere necessario del tempo per trovarla.
4. Immetti le porte di entrata e di uscita scelte e seleziona il protocollo. Per andare sul sicuro, il numero di porta deve essere compreso tra 1.000 e 65.000. Ecco un elenco delle porte utilizzate da alcuni dei processi più comuni.
5. Inserisci il tuo indirizzo IP statico o l’indirizzo IP locale del dispositivo che desideri utilizzare per il port forwarding.
6. Fai clic su “Abilita” o su qualsiasi altro pulsante simile nell’interfaccia utente del tuo router.

A questo punto hai abilitato il port forwarding sul tuo router.

Configurazione del port forwarding per il proprio server VPN

Se possiedi un server VPN a casa e desideri configurare il port forwarding per accedervi da remoto tramite internet, puoi farlo seguendo queste istruzioni. Ricorda: i dettagli specifici dipendono in larga misura dal router: 

1. Apri l’interfaccia utente del tuo router. In genere è possibile farlo inserendo il suo indirizzo IP nel proprio browser;
2. Trova la schermata/scheda Port Forwarding. Potrebbe essere necessario fare clic in più punti per trovarla;
3. A seconda del protocollo VPN utilizzato, inserisci quanto segue:
   1. PPTP: imposta la Porta locale su 1723 e il Protocollo su TCP per il PPTP stesso, mentre la Porta 47 e il Protocollo “Altro” per il tunnel GRE;
   2. IPSec: per il tunnel VPN IPSec, imposta la Porta locale su 500 e il Protocollo su UDP, mentre la Porta 4500 con il Protocollo UDP per il tunnel IPSec;
   3. OpenVPN: Imposta la porta locale su 1194 e il protocollo su UDP;
   4. IKEv2: in questo caso la Porta deve essere impostata su 500 mentre il Protocollo su UDP;
   5. WireGuard: imposta la Porta su 51820 e il Protocollo su UDP.
4. A questo punto è possibile configurare una connessione VPN su un altro computer utilizzando l’indirizzo IP pubblico del server VPN.

Disclaimer: Surfshark non può essere ritenuto responsabile dei rischi per la sicurezza dovuti all’utilizzo del port forwarding.

Client VPN e port forwarding con una VPN

È possibile che le VPN supportino la funzionalità del port forwarding. Alcune VPN presenti sul mercato consentono il port forwarding completo. Altre VPN consentono solo l’inoltro di alcune delle porte più comuni. In entrambi i casi, è difficile saperlo in anticipo, quindi se ritieni importante il port forwarding, consulta il sito web della VPN, contatta l’assistenza clienti o leggi le FAQ per verificare se è disponibile.

Oltre a ciò, vi è la possibilità che vengano scoperte altre vulnerabilità. Ad esempio, nel 2015 è emerso l’errore “Port Fail”. Si trattava di un effetto collaterale del port-forwarding di una VPN che consentiva di far trapelare online il vero indirizzo IP dell’utente. Poiché una VPN ha lo scopo di proteggere la tua privacy, indirizzo IP compreso, il risultato non è stato dei migliori. Il mancato supporto del port forwarding consente a Surfshark di non incorrere in exploit di questo tipo in futuro. 

Sicuramente il mancato supporto del port forwarding renderà scontenti alcuni utenti. Ad ogni modo, una maggiore sicurezza è un buon compromesso. 

Conclusioni: non utilizzare il port-forwarding

Il port forwarding esiste per rendere più agevole la comunicazione su internet e per consentire ai dispositivi di connettersi reciprocamente senza interruzioni da parte del firewall. Tuttavia, aprire le porte a connessioni non controllate da dispositivi esterni comporta alcuni rischi, in particolare se il processo è automatizzato tramite UPnP. Questo è il motivo per cui i principali fornitori di servizi VPN, tra cui Surfshark, hanno limitato il port forwarding tra i servizi offerti. In fin dei conti, la sicurezza dei dati dei nostri utenti è l’obiettivo più importante.

FAQ

È sicuro il port forwarding con una VPN?

In nessun caso il port forwarding può essere ritenuto sicuro, in quanto apre un canale non sicuro nel tuo dispositivo affinché le connessioni esterne possano accedervi facilmente. 

È possibile subire attacchi hacker con il port forwarding?

Sì, poiché il port forwarding crea una falla nelle tue difese informatiche. 

Il port forwarding compromette l’utilizzo di internet?

Il port forwarding non compromette la connessione a internet, a meno che non si commetta un errore durante la sua abilitazione. Tuttavia può rendere l’utente più vulnerabile agli attacchi degli hacker.