Che cos'è un firewall?

I firewall e la loro evoluzione

Un firewall è un dispositivo di sicurezza della rete che autorizza o rifiuta l'accesso di rete ai flussi di traffico tra una zona non attendibile, ad esempio Internet, e una zona attendibile, ad esempio una rete privata o aziendale. Il firewall funge da punto di demarcazione o "vigile del traffico" nella rete, poiché tutte le comunicazioni devono passare attraverso questo dispositivo, che rappresenta il luogo in cui il traffico viene autorizzato o meno ad accedere. I firewall impongono il controllo degli accessi tramite un modello di controllo positivo, in cui viene specificato che solo il traffico definito nella policy del firewall è consentito ad accedere alla rete; tutti gli altri tipi di traffico vengono negati (si parla anche di "negazione predefinita").

Liste di controllo degli accessi

Agli inizi, i firewall venivano eseguiti tramite le liste di controllo degli accessi, dette ACL (Access Control List), spesso nei router. Le ACL erano essenzialmente delle regole compilate appositamente per determinare se l'accesso alla rete di determinati indirizzi IP dovesse essere autorizzato o rifiutato. Ad esempio, in una ACL potrebbe essere presente una riga che indica che tutto il traffico proveniente dall'indirizzo IP 172.168.2.2 deve essere rifiutato o che tutto il traffico sulla porta 80 compreso tra l'indirizzo IP 172.168.2.2 e il server web all'indirizzo IP 10.10.10.201 deve essere consentito.

Le ACL sono vantaggiose perché presentano caratteristiche di scalabilità ed elevate prestazioni, tuttavia non sono in grado di leggere le intestazioni dei pacchetti passati, che forniscono solo informazioni di base sul traffico. Pertanto, il solo filtraggio dei pacchetti ACL non è in grado di tenere lontane le minacce dalla rete.

Firewall proxy

I firewall proxy fungono da intermediari; accettano tutte le richieste di traffico che giungono alla rete impersonando il reale destinatario del traffico nella rete. Dopo un'ispezione, se decide di autorizzare l'accesso, il firewall proxy invia le informazioni al computer di destinazione, il quale invia una risposta al proxy, che incapsula le informazioni con l'indirizzo di origine del server proxy. Tramite questo processo, il firewall proxy interrompe (o termina) la connessione tra i due computer in modo da risultare l'unico computer nella rete a comunicare con il mondo esterno.

I firewall proxy possono ispezionare i contenuti nella loro interezza e prendere decisioni sugli accessi in base a un livello di informazioni più specifiche e dettagliate. Il controllo degli accessi offerto da questo tipo di firewall è particolarmente apprezzato dagli amministratori di rete, tuttavia ogni applicazione richiede il proprio proxy al livello dell'applicazione. Le reti con firewall proxy presentano anche un peggioramento delle prestazioni del traffico e numerosi limiti in termini di supporto delle applicazioni e delle funzionalità generali. Ciò comporta problemi di scalabilità che rendono difficile portare a termine correttamente un'implementazione. Per questo motivo, le installazioni di firewall proxy non sono così diffuse. Infatti, anche quando c'è stato il picco di popolarità dei firewall proxy negli anni '90, i problemi di prestazioni e scalabilità hanno limitato la loro adozione in implementazioni di nicchia di mercati verticali selezionati.

Firewall stateful inspection

La tecnologia stateful inspection, detta anche stateful filtering, è considerata come la terza generazione di firewall. Questa tipologia di firewall esegue due operazioni: classifica innanzitutto il traffico in base alla porta di destinazione (ad esempio tcp/80 = HTTP). In secondo luogo, tiene traccia dello stato del traffico monitorando ogni interazione di ciascuna connessione specifica fino alla chiusura della stessa.

Tali proprietà aggiungono ulteriori funzionalità al controllo degli accessi: i firewall stateful inspection consentono di autorizzare o meno l'accesso non solo in base alla porta e al protocollo ma anche alla cronologia del pacchetto nella tabella di stato. Quando i firewall stateful inspection ricevono un pacchetto, controllano la tabella di stato per verificare se sia già stata stabilita una connessione o se sia stata effettuata una richiesta per il pacchetto in ingresso da un host interno. Se non viene trovato alcunché, l'accesso del pacchetto è soggetto all'applicazione delle regole specificate nella policy di sicurezza del firewall.

Sebbene la tecnologia stateful inspection sia scalabile e trasparente agli utenti, il livello supplementare di protezione aggiunge complessità all'infrastruttura di sicurezza della rete, e questa tipologia di firewall riscontra una serie di difficoltà a gestire applicazioni dinamiche quali SIP o H.323.

Soluzioni UTM

Le soluzioni UTM (Unified Threat Management) furono inizialmente definite come consolidamento dei firewall stateful inspection, delle applicazioni antivirus e dei sistemi IPS in un'unica appliance. Successivamente, la definizione del concetto di UTM inglobò molte altre funzioni di sicurezza della rete.

È importante osservare che il successo delle soluzioni UTM è dovuto all'efficacia dei firewall stateful inspection, una tecnologia sviluppata prima di tutte le funzioni dei componenti UTM, i quali, pur essendo integrati in un unico dispositivo, sono essenzialmente servizi di sicurezza a valle. Di conseguenza, il carico di lavoro di tutti i componenti di sicurezza dietro il firewall (nella rete) vengono determinati dalla potenza della relativa funzionalità di controllo degli accessi. Sebbene le soluzioni UTM offrano tutta una serie di funzioni di sicurezza in un unico prodotto, la tecnologia di controllo degli accessi di base del firewall rimane invariata.

Firewall di nuova generazione

I firewall di nuova generazione sono stati creati per arginare le conseguenze dell'evoluzione di applicazioni e malware avanzati, i cui sviluppatori sono riusciti ad aggirare la tradizionale classificazione del traffico basata sulle porte creando tecniche di elusione nei loro programmi. Oggi, il malware si aggancia a queste applicazioni per accedere alle reti e integrarsi sempre di più ad esse (collegandosi l'uno con l'altro nei singoli computer che hanno infettato).

I firewall di nuova generazione fungono da piattaforma per l'imposizione delle policy di sicurezza della rete e l'ispezione del traffico di rete. Secondo Gartner Inc., società che si occupa di ricerche, un firewall di nuova generazione viene definito in base alle seguenti caratteristiche:

  • Funzionalità standard del firewall di nuova generazione: tra queste si annoverano filtraggio dei pacchetti, stateful inspection, NAT (Network-Address Translation), connettività VPN e così via.
  • Prevenzione delle intrusioni totalmente integrata: include il supporto di firme di protezione da vulnerabilità e da minacce, oltre al suggerimento di regole (o di azioni da intraprendere) in base all'attività del sistema IPS. L'utilizzo congiunto di entrambe le funzioni, integrate nel firewall di nuova generazione, aumenta l'efficienza rispetto alle potenzialità dei singoli componenti.
  • Piena visibilità e identificazione delle applicazioni: possibilità di imporre policy al livello delle applicazioni indipendentemente da porta e protocollo utilizzati.
  • Intelligence extrafirewall: possibilità di recuperare le informazioni da fonti esterne e di prendere decisioni più oculate. Tra gli esempi si annoverano: creazione di blacklist o whitelist e associazione del traffico a utenti e gruppi tramite Active Directory.
  • Adattabilità all'ecosistema di minacce odierne: supporto dei percorsi di per l'integrazione di nuovi feed di informazioni e nuove tecniche per la protezione dalle minacce future.
  • Supporto inline, con possibilità minime di peggioramento delle prestazioni o interruzione delle operazioni di rete.
CHAT
Domande?
Discutine con chi può darti le risposte.
Avvia la chat