Ecco la verità sul file hosts e sul blocco dell’accesso ai siti Internet

Capita molto spesso in scenari di lavoro, scolastici e in tutti quelli in cui c’è bisogno di una connessione a Internet, che gli utenti non usino il computer per gli scopi previsti, ma preferiscono svagarsi navigando per il web. In questi casi la soluzione più comune è, ovviamente, quella di bloccare l’accesso a questi siti direttamente dalla macchina. La tecnica più gettonata è senza dubbio quella che prevede la modifica del famoso file hosts. Vediamo meglio di cosa si tratta e perchè non è una configurazione valida.

Molti utenti credono di poter impedire l’accesso a determinati siti semplicemente dirottandone il flusso verso indirizzi inutilizzati. Ad esempio, se si vuole inibire l’accesso a Facebook, nel file hosts di Windows (che si trova in C:\WINDOWS\system32\drivers\etc) si usa aggiungere la seguente riga:

127.0.0.2            www.facebook.com

La cosa curiosa è che, aprendo il browser e cercando di connettersi a Facebook, tali “smanettoni” credono anche di essere riusciti nel loro intento realizzando che effettivamente il browser ha restituito un errore del tipo “Impossibile connettersi al sito”. Ma capiamo meglio cosa succede in questi casi.

Il file hosts è una sorta di DNS locale primario. Quando chiedete di connettervi a qualsiasi sito Internet, Windows, tra le prime cose, consulta il file hosts. Tale file ha una struttura molto semplice: associa un indirizzo IP ad un nome di dominio. La configurazione di default, ad esempio, vuole che se il nome “localhost” corrisponda a 127.0.0.1, che corrisponde alla macchina locale. Se abbiamo aggiunto la riga sopra riportata per bloccare l’accesso a Facebook, il sistema operativo non chiederà più di connettersi a www.facebook.com, ma a 127.0.0.2. Il browser, d’altra parte, non sa nulla di tutto questo e quindi non riesce a contattare le destinazione, essendo l’IP 127.0.0.2 non associato a nessun servizio.

La cosa sembra funzionare. Ma solo ad un livello superficiale. E’ vero che se digitiamo www.facebook.com su qualsiasi browser installato sul nostro computer non riusciremo a visualizzare la pagina del social network. Ma è anche vero che il blocco non è integrale. O meglio, è solo a livello di hostname. In altre parole, se chiedessimo di connetterci a 69.63.181.12, che è uno tra gli indirizzi IP di Facebook? Il browser ha già un indirizzo a cui connettersi, per cui non c’è bisogno di effettuare l’operazione di DNS. In questo caso il file hosts viene ignorato e la pagina di Facebook viene visualizzata normalmente.

Dimostrato ciò, ecco la domanda da un milione di Euro: com’è che si blocca l’accesso ad un sito Internet? Sicuranemte, non si usa il file hosts, che è stato progettato per ben altri scopi. L’idea è la più semplice di tutte: utilizzare un firewall e configurarlo in modo da evitare che ci siano connessioni a www.facebook.com. Spesso i firewall riescono a recuperare più indirizzi IP per un singolo hostname. Ad ogni modo, se volete assicurarvi del fatto che il blocco sia insormontabile, inserite come oggetto blocco non solo l’hostname del sito, ma anche tutti gli indirizzi IP ai quali è possibile reperirlo.