Cosa è un firewall? Una introduzione alle tipologie di firewall e al loro utilizzo

In questo articolo vediamo cosa intendiamo con il termine "firewall", uno strumento, software o hardware, indispensabile in qualsiasi pc o rete di computer, siano essi semplici desktop o server all'interno di un data center. Il nostro sguardo e proprio rivolto al data center, dove la protezione della rete e fondamentale per evitare seri problemi di sicurezza alle macchine dei clienti. L'articolo tratta quali sono le diverse tipologie di firewalling, hardware e software, e la loro implementazione.

In questo articolo vediamo cosa intendiamo con il termine “firewall“, uno strumento, software o hardware, indispensabile in qualsiasi pc o rete di computer, siano essi semplici desktop o server all’interno di un data center. Il nostro sguardo è proprio rivolto al data center, dove la protezione della rete è fondamentale per evitare seri problemi di sicurezza alle macchine dei clienti. 

L’articolo tratta quali sono le diverse tipologie di firewalling, hardware e software, e la loro implementazione. 

Questo articolo è offerto da HostingSolutions.it

HostingSolutions.it è leader nel mercato italiano dei servizi hosting, con un listino completo di soluzioni di hosting condiviso, registrazione domini, posta elettronica certificata, server virtuali e dedicati. HostingSolutions.it opera da 10 anni nel settore con data center proprietario. 

Cosa è un firewall?

Cosa è un firewall?

Un firewall è un programma o un componente hardware che si occupa del filtraggio di tutti i pacchetti diretti a un pc o a una rete o sottorete che si voglia. Questa generale definizione, include anche dentro di se il filtraggio degli accessi remoti, e della gestione delle tabelle di autorizzazione per IP.

In generale quindi un firewall è un sistema che viene utilizzato per la gestione della sicurezza, ma non è questo l’unico scopo per il quale si decide di aggiungerlo alla nostra rete. Quando infatti come firewall viene utilizzato un hardware dedicato, è anche possibile configurare tale componente fisico per connettere due o più reti o sottoreti e definire le regole di comunicabilità interne.

Nei casi più complessi e dove si abbiano necessità più particolari, un server dedicato con due schede di rete, può essere interamente dedicato alle operazioni di firewalling. In questi casi, in generale, il server che opera da firewall ha una scheda di rete che viene utilizzata come ingresso e ed una che invece porta la connessione, ad esempio, ad uno switch, gestendo le dinamiche di filtraggio in modo che solo alcuni pacchetti o solo alcuni IP siano autorizzati a passare dalla scheda che riceve la connessione a quella che la distribuisce alla rete che sta filtrando.

Compiti di un firewall

Compiti di un firewall

In generale un firewall è in grado di compiere tre principali operazioni sui pacchetti in transito: monitoraggio, controllo e modifica dei dati impacchetati e trasmessi. Il firewall infatti è in grado di aprire ciascun pacchetto dati, leggerne l’header e il contenuto e valutare tramite una serie di regole definite dall’amministratore della rete, se il pacchetto va filtrato oppure no, se va eliminato oppure registrato, se va addirittura modificato o se invece è libero di passare, ma generando un warning diretto agli amministratori.

Diventa particolarmente evidente a questo punto quale ruolo fondamentale abbia questa tecnologia rispetto alla sicurezza interna, esterna e di accesso di una rete rispetto all’uso che ne fanno i suoi utenti.

Tipi di filtraggio

Tipi di filtraggio

I firewall possono essere di varia natura:  quelli definiti come firewall di protezione perimetrale, che constano in apparati dedicati stand alone esterni ai server o in veri e propri server che a monte della rete o della sottorete da controllare analizzano i pacchetti e li filtrano, e quelli chiamati Personal Firewall o anche detti firewall software che sono costituiti da programmi installati direttamente sul server di cui si vuole tenere sotto controllo il traffico dati. 

La prima famiglia di firewall è sicuramente la soluzione più professionale e sicura che si possa adottare in una rete che si voglia controllare con precisione. I firewall fisici infatti sono apparecchiature che hanno al loro interno un sistema operativo molto semplice ed in grado solo di effettuare limitate operazioni di controllo.

Appare evidente che in questi casi, risulti particolarmente complesso per un utente dalle intenzioni malevoli, modificare le regole al fine di effettuare operazioni “vietate”. Un firewall fisico infatti è apparentemente uguale ad uno switch che possiede una connessione di ingresso e una o più connessioni in uscita gestite secondo le regole interne impostate dall’amministratore del sistema. In questi casi, la modifica delle regole passa dall’autentificazione al firewall e dalla modifica delle preferenze sull’interfaccia interna del firewall stesso.

Nel caso invece in cui il firewall sia un programma installato sul server da controllare, non si può non fare i conti con programmi malevoli che potrebbero disattivare il programma di controllo e vanificare tutte le impostazioni definite. Altra cosa da considerare è che in un server che installi qualsiasi sistema operativo, un software è sempre a rischio di crash; in questi casi, la terminazione inaspettata disabilita ovviamente di colpo tutte le regole di firewalling impostate e rende il sistema completamente privo di controllo.

Ovviamente dal punto di vista economico, se da una parte un sistema hardware ha un costo inevitabile, nel caso di un Personal Firewall il costo può essere completamente annullato utilizzando soluzioni freeware sempre più presenti in rete. Se è vero che gli svantaggi di un firewall software sono evidenti rispetto a un firewall fisico, è anche vero che il primo ha la possibilità aggiuntiva di analizzare quale sia l’applicazione che ha generato un dato pacchetto e quindi permette un controllo incrociato fra pacchetti e applicazioni che un firewall hardware non è in grado di fare, non avendo a disposizione la possibilità di interagire direttamente con il server che controlla e i suoi applicativi.

La soluzione ottimale quindi, come spesso capita, è l’uso di sistemi misti che si basino su firewall fisici per il controllo indiscriminato dei pacchetti in entrata e uscita su una rete o sua una sottorete e l’adozione di sistemi software su ciascuna macchina che gestiscano nel dettaglio i rapporti fra determinati pacchetti e le applicazioni a cui sono diretti o da cui provengono. In questo caso, il controllo sarà ovviamente più preciso e meglio organizzato rispetto a un sistema che consti solo di una delle due possibili architetture disponibili.

Limitazioni delle reti tramite firewall

Limitazioni delle reti tramite firewall

Un’altra importante applicazione dei firewall, infatti è quella che viene messa in essere nelle reti che debbano essere limitate per motivazioni “politiche”. Per capire questa eventualità, poniamo un esempio semplice.

In una rete in cui molti utenti si connettano per fruire dei contenuti online collegandosi ad internet, può capitare che chi amministra le rete decida di porre delle limitazioni precise sulle possibilità che ciascuno utente ha di operare rispetto all’esterno. Se ad esempio stiamo gestendo la connessione pubblica di una stanza in cui venga rilasciato a utenti che non conosciamo la possibilità di connettersi ad internet, capiterà che occorra impostare delle limitazioni in uscita in modo che non sia possibile eseguire operazioni sconvenienti.

In questi casi ad esempio, una cosa che viene generalmente messa sempre in atto, è la chiusura tramite firewall delle porte che vengono utilizzate da programmi di filesharing o addirittura spesso vengono organizzate delle liste di siti visitabili e chiusa la navigazione a tutti gli altri domini non contemplati. Questo ultimo esempio è spesso messo in pratica nelle scuole dove si vuole che l’uso di internet da parte degli studenti sia limitato alla navigazione solo di certi siti o solo all’uso di eventuali servizi e non di tutti. In tutti questi casi viene utilizzata una configurazione firewall che, analizzate le richieste verso l’esterno, limiti le possibili risposte solo a poche e determinate.

Principali sistemi di filtering

Principali sistemi di filtering

Il principale sistema di filtraggio che può essere messo in pratica tramite l’uso di un fiewall è il packet filtering. Tale sistema si limita al controllo degli header dei pacchetti che poi vengono quindi filtrati secondo le regole impostate nelle sezioni di configurazione. In questo caso il firewall analizza l’appartenenza di un pacchetto e lo discrimina secondo la famiglia alla quale appartiene, ma non è assolutamente in grado di capire se un pacchetto sta fingendo di appartenere ad una famiglia che non è la sua.

Questo tipo di vulnerabilità viene ad esempio sfruttata dalla tecnica chiamata dll injection, utilizzata da molti trojan che, fingendo di inviare dati da un’applicazione considerata dal firewall sicura, riescono a far transitare pacchetti malevoli senza che il firewall sia in grado di riconoscerli come tali.

Altro sistema di filtraggio è quello denominato deep inspection che si basa sul controllo dei dati contenuti all’interno di un pacchetto controllando direttamente il contenuto di quella che viene chiamata pila ISO/OSI del pacchetto. Questa tecnica permette di eliminare i pacchetti che abbiano contenuti strani tipici delle trasmissioni messe in pratica da worms o programmi virali.

La strategia forse più complessa e complicata da gestire, ma che garantisce una minore vulnerabilità, è quella denominata Application Layer Firewall che consta nell’analisi dettagliata dei pacchetti in relazione agli applicativi che li hanno generati o che li devono ricevere. In questo caso, il controllo avviene tramite la consapevolezza precisa della struttura dei dati in relazione agli applicativi che li usano.

Un firewall può anche effettuare tutta un’altra serie di operazioni di vario tipo e molto utili nel controllo dei dati all’interno di una rete.

Può ad esempio gestire le Access List, discriminando utenti e indirizzi autorizzati a determinati accessi, rendendo ad esempio impossibile l’accesso a tutti quegli utenti che non abbiano un determinato indirizzo IP statico, in modo che un servizio sia accessibile solo da una rete definita e non dal resto del mondo.

Altra operazione “famosa” è il natting degli indirizzi, che corrisponde ad una traduzione degli indirizzi IP che quindi possono essere resi irraggiungibili da particolari postazioni come accade in quei casi in cui non si voglia che per esempio la rete locale riesca a raggiungere servizi orientati solo per le connessioni esterne.

Altra importante caratteristica è il logging avanzato delle connessioni che permette di tenere traccia precisa di tutte le comunicazioni avvenute in entrata e in uscita su un server, una sottorete o un’intera rete, in modo da poter ricostruire in maniera precisa, tutti gli indirizzi che hanno effettuato determinate operazioni sulla rete.

Attenzione ad esagerare, il firewall è uno strumento potente

Attenzione ad esagerare, il firewall è uno strumento potente

Dopo tutto quello che abbiamo detto, non si può però non parlare delle configurazioni sbagliate.

Un firewall mal configurato infatti è spesso la principale causa di tutti i problemi legati a raggiungibilità, gestione, capacità di un’architettura.

Chi ha lavorato in un datacenter sa bene quanti utenti deve aiutare ogni giorno a tornare in possesso dei propri server non più raggiungibili per colpa di configurazioni troppo restrittive che chiudono fuori tutti.

Allo stesso tempo, un firewall diventa totalmente inutile quando la configurazione è troppo lasciva e ancora, non è certo raro vedere reti confuse e mal funzionanti a causa di firewall che compiono reindirizzamenti errati.

Configurare un firewall in maniera precisa e perfetta passa sempre da un’accurato studio delle necessità e di una valutazione precisa delle capacità del firewall che stiamo utilizzando, una banale configurazione fatta al volo senza pensarci troppo può causare collassi totali dei sistemi controllati o regali ghiotti a chi passa le giornate a cercare di violare sistemi informatici.

Questo articolo è offerto da HostingSolutions.it

HostingSolutions.it è leader nel mercato italiano dei servizi hosting, con un listino completo di soluzioni di hosting condiviso, registrazione domini, posta elettronica certificata, server virtuali e dedicati. HostingSolutions.it opera da 10 anni nel settore con data center proprietario. 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *