Che cos'è il Firewall?

Un firewall è un sistema di sicurezza di rete che monitora e controlla il traffico di rete in entrata e in uscita in base a regole di sicurezza predeterminate. Stabilisce una barriera tra una rete interna fidata e una rete esterna non fidata, come Internet.

I firewall rappresentano la prima linea di difesa nella sicurezza delle reti da oltre 25 anni. Stabiliscono una barriera tra le reti interne protette e controllate che possono essere fidate e le reti esterne non fidate, come Internet.

Tipi di firewall

I firewall possono essere hardware, software o entrambi. La configurazione ideale del firewall dipende dalle esigenze specifiche della rete.

I firewall sono classificati in due tipi: Firewall di rete e Firewall basati su host. I firewall di rete filtrano il traffico tra due o più reti e vengono eseguiti su hardware di rete. I firewall basati su host vengono eseguiti su computer host e controllano il traffico di rete in entrata e in uscita da tali computer.

Firewall di rete

I firewall di rete, noti anche come firewall hardware, sono tipicamente utilizzati dalle aziende e sono posizionati ai margini della rete per proteggersi dalle minacce provenienti dal mondo esterno. Possono essere sistemi autonomi o integrati in altri componenti di rete.

Spesso vengono distribuiti in modalità perimetrale, proteggendo un'intera rete con una guardia ai suoi bordi e filtrando tutto il traffico in entrata e in uscita. Possono anche essere implementati in modalità core, per proteggere un sottoinsieme specifico della rete.

Firewall basati su host

I firewall basati su host, noti anche come firewall software, sono installati su singoli server e monitorano i pacchetti in entrata e in uscita solo dalla macchina. Forniscono un livello di software su un host che controlla il traffico di rete in entrata e in uscita da quella singola macchina.

I firewall basati su host sono vantaggiosi perché forniscono controlli specifici su ogni singolo dispositivo di rete. Tuttavia, la gestione dei firewall basati su host può essere complessa e richiedere tempo, in quanto richiede la configurazione e la manutenzione di ogni singolo dispositivo.

Tecniche di firewall

I firewall utilizzano diversi metodi per controllare il traffico in entrata e in uscita da una rete. I metodi principali includono il filtraggio dei pacchetti, l'ispezione statica, il servizio proxy e i firewall di nuova generazione.

Ciascuna di queste tecniche offre diversi livelli di sicurezza e prestazioni e può essere utilizzata in combinazione per creare una difesa a strati contro una serie di attack vector.

Filtraggio dei pacchetti

I firewall di filtraggio dei pacchetti operano al livello di rete del modello OSI, o al livello IP di TCP/IP. Di solito fanno parte di un router ed esaminano ogni pacchetto in entrata e in uscita dalla rete, esaminandone le intestazioni in base a una serie di regole.

Il firewall è configurato per filtrare i pacchetti con determinati indirizzi IP, tipi di protocollo o porte. I pacchetti segnalati come problematici vengono eliminati (cioè non inoltrati all'altra rete).

Ispezione Stateful

I firewall con ispezione stateful, noti anche come filtraggio dinamico dei pacchetti, sono una forma più advanced di filtraggio dei pacchetti. Non solo esaminano ogni pacchetto, ma tengono anche traccia del fatto che quel pacchetto faccia o meno parte di una sessione TCP stabilita. Ciò offre una maggiore sicurezza rispetto al filtraggio dei pacchetti tradizionale.

Invece di esaminare il contenuto di ogni pacchetto, ne confrontano alcune parti chiave con un database di informazioni affidabili. Le informazioni che viaggiano dall'interno del firewall verso l'esterno vengono monitorate alla ricerca di specifiche caratteristiche di definizione, quindi le informazioni in arrivo vengono confrontate con queste caratteristiche.

Servizio Proxy

I firewall che utilizzano un server proxy o un gateway sono talvolta noti come gateway a livello di applicazione. Il gateway funge da intermediario per le richieste dei client che cercano risorse da altri server.

Il firewall intercetta tutto il traffico in entrata e in uscita dalla rete. Il firewall quindi convalida e reindirizza il traffico. Il firewall può nascondere i veri indirizzi di rete e consentire il passaggio solo del traffico che corrisponde al set di regole configurato.

Firewall di nuova generazione

I firewall di nuova generazione (NGFW) combinano le funzioni di un firewall tradizionale con funzionalità aggiuntive, come l'ispezione profonda dei pacchetti, la prevenzione delle intrusioni e la consapevolezza delle applicazioni.

Gli NGFW vanno oltre l'ispezione dei protocolli e delle porte, ispezionando i dati all'interno del pacchetto stesso, fino al livello applicativo. Ciò consente un controllo altamente granulare sul traffico di rete e fornisce una migliore visibilità sulle applicazioni e sugli utenti che generano tale traffico.

Criteri e risposte del firewall

Le regole o i criteri del firewall stabiliscono il traffico che può entrare o uscire da una rete. Il firewall abbina i pacchetti a regole basate sugli indirizzi IP di origine e di destinazione, sulle porte di origine e di destinazione e sul protocollo utilizzato.

Se un pacchetto corrisponde a una regola, il firewall applica l'azione associata alla regola, che può essere consentire il traffico, negarlo o inviare un avviso all'amministratore di rete.

Predefinito Consenti

Un criterio allow predefinito consente il passaggio di tutto il traffico, a meno che non soddisfi determinati criteri. I criteri, o le eccezioni, sono definiti dalle regole del firewall. Questo criterio è più facile da gestire perché è sufficiente definire cosa non consentire.

Tuttavia, questo criterio è più rischioso perché se si dimentica di proibire un tipo di traffico dannoso, questo sarà consentito. Questo criterio è generalmente utilizzato in ambienti meno avversi al rischio.

Predefinito Rifiuta

Un criterio di negazione predefinito blocca tutto il traffico a meno che non soddisfi determinati criteri. I criteri sono definiti dalle regole del firewall. Questo criterio è più sicuro perché blocca automaticamente tutto il traffico dannoso o potenzialmente dannoso.

Tuttavia, questo criterio è più difficile da gestire perché è necessario definire cosa consentire. Questo criterio è generalmente utilizzato in ambienti più avversi al rischio.

Limitazioni del firewall

Sebbene i firewall forniscano un importante livello di sicurezza, hanno dei limiti. Non possono proteggere dagli attacchi che non passano attraverso il firewall. Inoltre, i firewall non sono in grado di proteggere dalle minacce interne, come quelle di un dipendente insoddisfatto.

Inoltre, i firewall non possono proteggere una rete o un sistema da contenuti specifici nel payload del pacchetto che potrebbero essere dannosi, a meno che il firewall non sia stato specificamente configurato per riconoscere tali contenuti dannosi.

Bypassare il firewall

I firewall possono essere aggirati se un aggressore trova il modo di aggirarli. Ciò può avvenire attraverso il tunneling del protocollo all'interno di un altro protocollo, sfruttando le vulnerabilità del software o della configurazione del firewall o inviando traffico dannoso che il firewall è stato configurato per consentire.

Gli aggressori possono anche bypassare i firewall utilizzando tecniche come l'IP spoofing, in cui l'aggressore invia pacchetti con un indirizzo IP sorgente contraffatto di cui il firewall è stato configurato per fidarsi.

Minacce interne

I firewall non possono proteggere dalle minacce interne. Una minaccia interna è una minaccia alla sicurezza che proviene dall'interno dell'organizzazione, spesso da un dipendente o da un funzionario dell'organizzazione che dispone di informazioni interne sulle pratiche di sicurezza, sui dati e sui sistemi informatici.

La minaccia insider può assumere diverse forme, tra cui lavoratori scontenti che abusano intenzionalmente del loro accesso per danneggiare l'organizzazione, dipendenti che causano involontariamente danni per negligenza o mancanza di conoscenza, o dipendenti che forniscono involontariamente informazioni o accesso a estranei.

Conclusione

I firewall sono una parte fondamentale di qualsiasi strategia di sicurezza di rete. Essi costituiscono una barriera tra le reti interne protette e controllate e le reti esterne non affidabili, come Internet.

Tuttavia, i firewall non sono una soluzione indipendente per la sicurezza della rete. Devono essere utilizzati insieme ad altre misure di sicurezza per fornire una difesa a strati contro una serie di attack vector.