Cos’è un firewall e come funziona
L’articolo tratta la tematica dei firewall, le differenti tipologie e il loro funzionamento.
Che la sicurezza sia e debba essere al centro dell’attenzione non solo dei CISO ma dei responsabili di qualunque azienda, indipendentemente dal settore in cui opera o dalle sue dimensioni, non è un mistero.
La numerosità, l’intensità e la severità delle minacce e degli attacchi cyber che anche lo scorso anno hanno colpito le realtà italiane, come testimoniato dai dati più recenti del rapporto Clusit, dimostrano la necessità dell’adozione e implementazione di una ben strutturata strategia di sicurezza, in grado di proteggere gli asset e le informazioni aziendali anche in contesti nuovi, nei quali i confini e i perimetri sono molto meno definiti che in passato.
E non vi è dubbio che uno dei pilastri di questa efficace strategia di sicurezza sia rappresentato dal firewall.
Cos’è un firewall
In sintesi estrema, un firewall è un dispositivo di sicurezza che monitora il traffico di rete in entrata e in uscita e consente oppure blocca un traffico specifico in base a un insieme definito di regole di sicurezza.
Rappresenta, di fatto, la prima linea di difesa della sicurezza di rete, costituendo una barriera tra reti fidate, protette e controllate e reti esterne non “trusted”.
Viene considerato indispensabile (se pure, va precisato, non sufficiente nel complesso panorama attuale) per impedire agli attaccanti di accedere a informazioni sensibili, interrompere l’operatività aziendale, bloccare i dati per poi chiedere forme di riscatto.
In effetti, un firewall serve non solo per bloccare l’accesso non autorizzato alla rete, ma anche per impedire agli utenti di visitare siti web inappropriati e scaricare malware.
Consente di identificare applicazioni a rischio, per individuare e scoraggiare le attività illecite in tutta la rete, così come di gestire le risorse di rete, in modo da controllare la quantità di larghezza di banda disponibile per determinati tipi di dati.
Come funziona un firewall
Il firewall funge da filtro per i dati di rete.
Sulla base di regole definite, i firewall analizzano i pacchetti di dati alla ricerca di codice dannoso o di vettori di attacco già identificati come minacce consolidate.
Se un pacchetto di dati viene contrassegnato e ritenuto un rischio per la sicurezza, il firewall impedisce che entri nella rete.
L’analisi dei pacchetti di dati avviene secondo diverse modalità e a diversi livelli.
Con il “filtering”, il filtraggio dei dati e dei pacchetti, il firewall confronta i pacchetti che tentano di entrare nella rete con un gruppo di filtri, rimuovendo quelli che corrispondono a determinate minacce identificate e lasciano passare gli altri verso la destinazione prevista.
Gli elementi analizzati includono gli indirizzi IP di origine e di destinazione, le porte e le applicazioni.
I pacchetti di dati in arrivo devono corrispondere sufficientemente alle informazioni attendibili per poter passare attraverso il firewall.
A livello proxy, invece, si crea una sorta di mirror del computer, impedendo la connessione diretta tra il dispositivo di destinazione e i pacchetti in arrivo.
Adottando dunque queste tecniche di filtraggio e di protezione delle connessioni, i firewall aiutano a prevenire diversi rischi di sicurezza.
Ne sono un esempio i backdoor, vale a dire una modalità “nascosta” di accedere a un sistema sfruttandolo per scopi dannosi.
I Denial of Service, una tipologia di attacco in grado di rallentare o bloccare un server.
Accessi remoti, utilizzabili per accedere a file sensibili o addirittura eseguire programmi indesiderati.
Spam contenenti link che portano all’installazione di codici malevoli nei sistemi; virus, anche di elevata severità, in grado di causare danni importanti agli asset aziendali.
Tipi di firewall
È importante capire quali sono le diverse tipologie di firewall esistenti e scegliere quella che meglio si adatta alle esigenze di ciascuna organizzazione.
Se guardiamo alla modalità di distribuzione, possiamo distinguere tra tre differenti tipologie.
Hardware
Un firewall hardware è un dispositivo fisico simile a un server che filtra il traffico diretto a un computer. Non viene collegato direttamente alla rete, ma si connette al firewall hardware che così si frappone tra la rete esterna e il server, fornendo una soluzione antivirus e una barriera rigida contro le intrusioni.
Si colloca direttamente dietro il router e può essere configurato per analizzare il traffico in entrata, filtrando le minacce specifiche che arrivano al dispositivo.
È una soluzione che, a fronte di un costo probabilmente superiore ad altre, consente la protezione di più dispositivi e garantisce una sicurezza perimetrale di alto livello, poiché il traffico dannoso non raggiunge mai i dispositivi host.
Richiede comunque competenze interne in fase di configurazione e gestione e non ha visibilità sulle minacce interne.
Software
Un software firewall è un firewall installato su un computer o un server con il compito di garantire la sicurezza della rete.
È un vero e proprio ombrello di protezione per tutti i dispositivi collegati alla rete e monitora il traffico in entrata e in uscita alla ricerca di potenziali rischi o di comportamenti sospetti da parte degli utenti.
Ha un costo inferiore rispetto all’appliance e presenta poche restrizioni sul numero di dispositivi da proteggere.
Garantisce una sicurezza granulare, con un controllo diretto a livello di dispositivo, anche in mobilità, quando l’utente e il suo dispositivo si trovano fuori dal perimetro aziendale.
Inoltre, oltre ai firewall software per ambienti Windows, macOS e Linux, i software firewall possono anche essere integrati nei dispositivi IoT (Internet of Things).
Cloud
Un cloud firewall è un dispositivo virtuale che protegge le risorse cloud dalle minacce esterne.
Noti anche come Firewall-as-a-Service (FWaaS), filtrano il traffico che attraversa il perimetro della rete e proteggono anche le applicazioni SaaS degli ambienti IT, consentendo un controllo centralizzato di tutte le risorse basate sul cloud.
Per poterlo implementare, ci si affida a un MSP: per questo è una soluzione che ben si adatta a realtà distribuite o con scarse risorse e competenze internet.
Ma, come accennato, ci sono altre differenze, in base alla modalità di funzionamento.
Packet Filtering
Questa tiplogia di firewall filtra le informazioni basandosi sui valori “header” ovvero sulle intestazioni del livello del protocollo di rete e in base alla Access Control List decide il tipo di traffico permesso e non.
Si controllano dunque indirizzi IP di destinazione e di origine, tipo di pacchetto, numero di porta, protocolli di rete. È una soluzione a basso costo, che tuttavia non offre un controllo dei payload dei pacchetti (i dati veri e propri) ed è probabilmente più facile da aggirare da attacker esperti.
Circuit Level Gateway
Un circuit level gateway è un firewall che garantisce la sicurezza delle connessioni UDP (User Datagram Protocol) e TCP (Transmission Control Protocol) e opera tra i livelli di trasporto e di applicazione del modello di rete OSI (Open Systems Interconnection).
A differenza dei gateway applicativi, i gateway a livello di circuito controllano l’handshake dei pacchetti di dati TCP tra gli host locali e remoti.
Questa tipologia non effettua ispezioni sui i pacchetti; quindi, anche le richieste infettate da malware possono accedere se l’handshake TCP è corretto.
Stateful Inspection
Questa tipologia di firewall tiene traccia e monitora lo stato delle connessioni di rete attive, analizzando il traffico in entrata e cercando potenziali rischi per il traffico e i dati e bloccando il traffico definito pericoloso sia in entrata che in uscita dalla rete.
I firewall stateful sono in grado di rilevare i tentativi di accesso alla rete da parte di persone non autorizzate e di analizzare i dati contenuti nei pacchetti per verificare se contengono codice dannoso e mantengono un database di tabelle che tiene traccia di tutte le connessioni aperte e consente al sistema di controllare i flussi di traffico esistenti.
Firewall Proxy
Come accennato in precedenza, un firewall proxy funge da intermediario tra i sistemi interni ed esterni.
Questi firewall proteggono una rete mascherando le richieste dei client prima di inviarle all’host.
Protegge le risorse di rete filtrando i messaggi a livello di applicazione: non a caso è definito anche application firewall o gateway firewall.
Next Generation Firewall
Un firewall di nuova generazione (NGFW) è in grado di rilevare e bloccare attacchi sofisticati applicando criteri di sicurezza a livello di applicazione, porta e protocollo.
I Next Generation Firewall sono in genere dotati di funzioni avanzate, tra cui application awareness, ovvero la capacità di un sistema di riconoscere e classificare le applicazioni che lo “attraversano”, sistemi integrati di intrusion prevention, consapevolezza delle identità e controllo di utenti e gruppi, capacità di utilizzare fonti di intelligence esterne.
La maggior parte dei firewall di nuova generazione integra almeno tre funzioni di base: firewall aziendali, IPS e controllo delle applicazioni. Combinano, cioè, le caratteristiche dei firewall tradizionali con funzionalità avanzate di cybersecurity.
Meglio un firewall hardware o software?
Come abbiamo visto, gli hardware firewall sono tipicamente integrati a livello di router, mentre i software firewall vengono installati su singoli dispositivi come PC, laptop o telefoni.
Una singola unità di firewall hardware è sufficiente per coprire l’intera rete e, poiché non necessitano di risorse di sistema per funzionare, gli hardware firewall non hanno impatto sulle prestazioni o sulla velocità del sistema.
I software firewall sono più economici e facili da configurare così che forniscano livello di protezione desiderato. Sono flessibili e personalizzabili e l’amministratore può bloccare o consentire la connessione a Internet solo a specifiche applicazioni, migliorando la sicurezza generale e riducendo la portata delle minacce informatiche.
Gli hardware firewall indipendenti, che includono CPU, memoria e sistemi operativi proprietari che non devono essere installati su un computer per funzionare, sono in genere più efficienti e veloci dei software firewall, tuttavia richiedono competenza ed esperienza sia in fase di installazione , sia in fase di gestione e , va ripetuto, non possono essere utilizzati per monitorare il traffico in uscita.
Più semplice da installare e gestire, poiché il software firewall viene installato sul sistema che deve proteggere, ne utilizza anche le risorse, come CPU e la memoria, influendo sulla sua velocità e prestazioni.
Alla luce di queste considerazioni, non è raro che si raccomandi l’adozione di entrambe le soluzioni per proteggere efficacemente la propria infrastruttura, sfruttando da un lato l’efficacia di un hardware firewall per proteggere i sistemi dalle minacce esterne, dall’altro la capacità dei software firewall per prevenire le minacce provenienti dai sistemi interni.
Best Practice
Naturalmente, scegliere un firewall è solo il primo passaggio di una strategia di sicurezza più articolata e complessa che richiede il rispetto di almeno alcuni passaggi
- Adottare una strategia di implementazione personalizzata e graduale
- Proteggere e configurare correttamente i firewall
- Aggiornarne costantemente i protocolli
- Verificare, monitorare e aggiornare i protocolli di accesso
- Stabilire protocolli di backup e ripristino
- Verificare la congruenza tra le policy aziendali e le normative vigenti, in ottica di massima compliance
- Effettuare regolarmente test e audit di sicurezza
Ultimi post
- Intranet aziendale
- Sprint Execution
- Network Access Control
- Container as a Service
- Red team e Blue team
Categorie
Tag