Cos’è il NAT e come funziona
Per l’utente medio, navigare in Internet è semplicissimo: sarà sufficiente usare un’app o un browser per accedere ai contenuti online, e le proprie richieste verranno automaticamente inviate agli appositi server e le risposte visualizzate sul proprio dispositivo. Dietro a queste operazioni apparentemente semplici si nascondono però dei processi piuttosto complessi. Uno di questi è gestito dal firewall NAT, una funzionalità che permette di veicolare il traffico in entrata e in uscita.
Contenuti
Cos’è un firewall
Prima di parlare di NAT e firewall NAT, è fondamentale capire cos’è un firewall tradizionale. Si tratta in sostanza di una funzionalità, disponibile per tutti i dispositivi collegati a Internet e solitamente applicata direttamente ai router per comodità, che permette di monitorare il traffico in entrata e in uscita. Questo monitoraggio avviene secondo delle regole predefinite che stabiliscono quali connessioni sono sicure e quali, invece, devono essere bloccate.
Un firewall è quindi un elemento importante per la sicurezza dei propri dispositivi e della propria rete domestica: fa infatti da intermediario con Internet, in modo da proteggere i singoli utenti da eventuali attacchi informatici. Esistono diversi tipi di firewall: quelli più comuni sono di tipo software, ossia funzionalità che possono essere installate su una moltitudine di dispositivi; ci sono però anche firewall di tipo hardware e basati sul cloud.
Cos’è il NAT
Il NAT (Network Address Translation) nasce come soluzione alla carenza di indirizzi IP. Ogni dispositivo collegato a Internet è individuato univocamente da un indirizzo IP: per verificare il proprio, basta consultare la pagina “mio IP“. Il metodo con cui vengono creati e assegnati i vari indirizzi ha però dei limiti: il protocollo IPv4, infatti, è in grado di creare un massimo di 4,3 miliardi di IP, un numero che può sembrare elevato ma che si è rivelato insufficiente a causa della rapida espansione di Internet in tutto il mondo.
Per risolvere il problema, è stato ideato il nuovo protocollo IPv6, in grado di creare un numero di indirizzi IP superiore di diversi ordini di grandezza a quello del protocollo IPv4. Tuttavia, questo nuovo protocollo è ancora poco utilizzato, e tutt’oggi è possibile utilizzare indifferentemente un indirizzo IPv4 o IPv6.
È stata quindi ideata una soluzione alternativa, cioè l’utilizzo di un NAT. Il NAT, a seconda del tipo di NAT, è un gateway che gestisce direttamente l’assegnazione degli indirizzi IP appartenenti alla rete locale su cui opera. I fornitori di servizi Internet, infatti, solitamente assegnano un solo indirizzo IP pubblico per ogni utente, che corrisponde a quello utilizzato dal router. Il NAT del router, quindi, si occupa di assegnare degli indirizzi IP privati che hanno valore solo all’interno della rete locale, ma che non sono visibili dall’esterno.
Cos’è un firewall NAT e come funziona
Il NAT gestisce in pieno tutto il traffico sia in uscita che in entrata, quindi si può parlare anche di firewall NAT per identificare questa sua funzionalità specifica. Ma come funziona di preciso?
- Quando si vuole accedere a un contenuto online, il proprio dispositivo invia una richiesta al server apposito, comunicando l’informazione a cui si vuole accedere e il proprio indirizzo IP locale.
- Il firewall NAT, che fa da intermediario, converte l’indirizzo IP privato nell’indirizzo IP pubblico assegnato al router, inoltrando poi la richiesta con le informazioni aggiornate.
- Il server invia una risposta con il contenuto richiesto.
- Il NAT riceve la risposta e converte nuovamente l’indirizzo IP da pubblico a privato, inoltrando così il contenuto che si vuole visualizzare.
Si tratta di una serie di operazioni semplici ma fondamentali per il corretto funzionamento della navigazione.
NAT statico e dinamico
Quando si configura un NAT, si può scegliere se utilizzare un’impostazione statica o dinamica.
Un NAT statico prevede che l’associazione tra indirizzo IP privato e dispositivo sia fissa; in pratica, ogni volta che ci si collega a Internet, i dispositivi vengono sempre identificati con lo stesso IP privato. Questo è molto utile quando è necessario che un dispositivo sia visibile dall’esterno, ad esempio se si dispone di un server locale a cui si vuole accedere anche quando si è fuori casa, o se si utilizzano telecamere di videosorveglianza controllabili da remoto. Solitamente è possibile configurare un NAT come statico direttamente dal pannello di controllo del router.
Con un NAT dinamico, invece, le associazioni tra indirizzo IP privato e dispositivo possono variare a seconda delle esigenze. Quando un dispositivo collegato alla rete locale invia una richiesta a un server remoto, il NAT assegna uno degli indirizzi IP a disposizione, solitamente seguendo un semplice ordine numerico: ad esempio, potrebbe assegnare l’IP 192.168.1.1 al primo dispositivo che si connette, 192.168.1.2 al secondo, e così via. In questo modo diventa impossibile accedere ai dispositivi connessi alla rete locale da remoto, ma proprio per questo si ottiene una maggiore sicurezza.
A livello di prestazioni entrambe le soluzioni sono sostanzialmente equivalenti, quindi la scelta di una o dell’altra deve essere fatta in base alle proprie esigenze. Per un uso normale, il NAT dinamico è probabilmente la soluzione migliore, in quanto più sicura: è infatti solitamente l’impostazione predefinita dei router.
NAT e sicurezza
Come accennato, un NAT dinamico tende a essere più sicuro di un NAT statico, in quanto diventa molto più difficile poter accedere ai dispositivi locali da remoto. Non si tratta comunque di una soluzione pensata specificamente per la sicurezza della navigazione. Anche se il NAT controlla tutto il traffico in entrata e in uscita, infatti, non è in grado di proteggere da attacchi informatici più sofisticati, come quelli che fanno affidamento sul phishing o sul social engineering.
NAT e VPN
Quando si tratta di sicurezza, la soluzione migliore è comunque quella di usare una VPN. Con una VPN, infatti, tutto il traffico in entrata e in uscita viene crittografato grazie a efficaci protocolli di crittografia, in grado di rendere i propri dati inaccessibili a chi non è in possesso dell’apposita chiave crittografica. Per fare una prova, basta scaricare una VPN e usare Internet normalmente: si potrà verificare come i protocolli in azione sono in grado di proteggere i dati. Per una protezione ancora più completa si può ricorrere a NordVPN, che tra le sue funzionalità aggiuntive offre anche Threat Protection Pro. Questa funzionalità permette di bloccare i cookie di tracciamento e navigare così senza che la propria attività venga registrata da terze parti; inoltre Threat Protection Pro permette di rilevare in automatico il malware e i siti potenzialmente pericolosi, bloccandone l’accesso prima ancora che possano insorgere dei problemi.
Si potrebbe però presentare un problema: a volte, infatti, il NAT può bloccare le connessioni che avvengono tramite VPN. Questo accade perché alcuni protocolli VPN, in particolare quelli più datati, non inviano le informazioni necessarie al NAT, che quindi blocca la connessione. Per non incorrere in questo problema, è necessario utilizzare un sistema particolare chiamato VPN passthrough sul proprio router.
Questa funzionalità autorizza in automatico tutte le connessioni verso server VPN, anche se il NAT non dovesse autorizzarle. Praticamente tutti i router moderni sono già configurati per utilizzare il VPN passthrough: nel caso non dovesse essere così, sarà necessario impiegare una VPN che utilizza protocolli più moderni che non vengono bloccati dai NAT.