Condividi tramite

Progettazione di firewall interni

In questa pagina

Argomenti del modulo Obiettivi Ambito di applicazione Utilizzo del modulo Linee guida di progettazione Attacchi al sistema e difesa Definizione del dispositivo Funzionalità firewall Classi di firewall Classe 1 — Firewall personali Classe 2 — Router con funzionalità firewall Classe 3 — Firewall hardware di fascia bassa Classe 4 — Firewall hardware di fascia alta Classe 5 — Firewall di tipo server di fascia alta Requisiti hardware Disponibilità Protezione Scalabilità Consolidamento Standard e linee guida Riepilogo Riferimenti

Argomenti del modulo

Questo modulo consente di selezionare un prodotto firewall adatto alla rete interna di una specifica organizzazione. I diversi firewall disponibili in commercio sono suddivisi in classi e di ogni classe vengono evidenziate le funzionalità più significative. Sono riportate inoltre le linee guida che consentono di determinare i requisiti specifici e di selezionare il prodotto più appropriato.

Inizio pagina

Obiettivi

Il modulo consente di:

  • Individuare le funzionalità necessarie nel firewall interno.

  • Classificare i prodotti firewall.

  • Selezionare il prodotto più adatto al firewall interno.

Inizio pagina

Ambito di applicazione

Le informazioni contenute in questo modulo sono valide per le seguenti tecnologie:

  • Prodotti firewall basati su Ethernet/IP.

Inizio pagina

Utilizzo del modulo

La conoscenza del protocollo TCP/IP e dell'architettura di rete in uso è una condizione indispensabile per comprendere e utilizzare le informazioni contenute nel modulo. Sarebbe inoltre utile determinare quale traffico in ingresso e in uscita, che passi attraverso il firewall interno, può essere considerato valido e quale no.

Le linee guida di progettazione presentate nel modulo consentiranno di selezionare le funzionalità che il firewall deve garantire tenendo in considerazione fattori determinanti come crescita e costi. Nel modulo sono inoltre definite differenti classi di firewall e avvalendosi delle linee guida di progettazione sarà possibile scegliere quale tra queste sia la più adeguata alle proprie esigenze. Le informazioni contenute nel modulo e la terminologia tecnica utilizzata consentiranno di discutere con i produttori di firewall dei prodotti offerti e di valutare quale sia la soluzione più adatta alle diverse esigenze.

Inizio pagina

Linee guida di progettazione

In questo modulo vengono esaminati i requisiti di un firewall interno in una rete aziendale, i tipi di dispositivi in grado di soddisfare tali requisiti e le opzioni disponibili per la distribuzione. Purtroppo le intrusioni nelle reti da parte di utenti interni ed esterni sono ormai all'ordine del giorno e questo costringe le organizzazioni a installare una protezione contro tali eventi. Un firewall ha un costo in termini economici e crea un ostacolo al flusso del traffico. È necessario quindi assicurarsi che il firewall in uso garantisca il miglior rapporto qualità-prezzo, per rendere efficiente la protezione senza gravare eccessivamente sui costi.

Architettura di rete

In un'architettura di rete aziendale sono in genere presenti tre aree:

  • Rete di confine Si tratta della rete direttamente connessa a Internet tramite un router che dovrebbe fornire un livello iniziale di protezione mediante il filtraggio di base del traffico di rete. Questa rete di confine trasmette i dati alla rete perimetrale tramite un firewall perimetrale.

  • Rete perimetrale Si tratta di una rete marginale, definita spesso DMZ (Demilitarized Zone), che collega gli utenti in ingresso ai server Web o ad altri servizi. I server Web, a loro volta, collegano alle reti interne tramite un firewall interno.

  • Reti interne Si tratta di reti interne che collegano i server interni, come i sistemi SQL Server, e gli utenti interni.

In un'organizzazione aziendale capita spesso che siano presenti due diversi firewall, uno perimetrale e l'altro interno. Sebbene le attività dei due firewall siano simili, il firewall perimetrale funge prevalentemente da limite per gli utenti esterni non attendibili, mentre l'azione del firewall interno consiste nell'impedire agli utenti esterni di accedere alla rete interna e nel limitare le operazioni eseguibili dagli utenti interni. Per ulteriori informazioni sulla progettazione di firewall perimetrali, vedere "Progettazione di firewall perimetrali".

Le reti sono illustrate nella figura 1

Figura 1 Architettura della rete aziendale

Elementi di progettazione

Un firewall controlla i pacchetti IP in ingresso e blocca quelli che rileva come attacchi intrusivi. Alcune operazioni di blocco possono essere eseguite riconoscendo, per impostazione predefinita, che determinati pacchetti non sono validi. In alternativa, è possibile configurare il firewall perché blocchi specifici pacchetti. Il protocollo TCP/IP è stato progettato quando non esisteva la necessità di prendere in considerazioni eventuali attacchi o intrusioni e ha, quindi, molti punti deboli. Ad esempio, il protocollo ICMP è stato progettato come un meccanismo di segnalazione interno a TCP/IP ma è soggetto alle azioni di utenti malintenzionati e ad attacchi di tipo Denial of Service. I requisiti di un firewall interno sono più vincolanti di quelli di un firewall perimetrale. Il traffico interno è, infatti, più difficile da controllare poiché la destinazione legittima può coincidere con qualsiasi server della rete interna.

Sono disponibili diversi tipi di firewall, che si differenziano per prezzi e per funzionalità offerte e prestazioni. In genere, i firewall più costosi sono quelli che offrono il maggior numero funzionalità e il grado più elevato di efficacia. Nella parte successiva di questo modulo i firewall sono raggruppati in classi al fine di poterli distinguere, ma prima di sceglierne uno è necessario stabilire quali siano i requisiti che deve soddisfare. È opportuno valutare i seguenti fattori:

  • Budget

  • Strutture esistenti

  • Disponibilità

  • Scalabilità

  • Funzionalità richieste

Budget

Qual è il budget disponibile? Ogni firewall dell'ambiente deve garantire il più alto livello di servizio senza gravare eccessivamente sui costi. Tuttavia, occorre essere consapevoli che un firewall di fascia molto economica può causare seri problemi all'azienda. È consigliabile considerare anche a quale danno economico andrebbe incontro l'organizzazione a causa di un periodo di inattività provocato dalla sospensione del servizio conseguente a un attacco di tipo Denial of Service.

Infrastrutture esistenti

Sono presenti infrastrutture utilizzabili per ridurre i costi? Nell'ambiente potrebbero essere già presenti firewall riutilizzabili e router provvisti di una serie di funzionalità firewall.

Disponibilità

Per le esigenze dell'organizzazione è necessario che il firewall sia sempre disponibile? Nel caso di servizi server Web pubblici con disponibilità costante, i periodi di inattività devono essere ridotti a zero. Tuttavia, poiché tutti i firewall sono soggetti a errori, c'è da chiedersi come sia possibile ridurre al minimo i rischi. La disponibilità di un firewall può essere migliorata in due modi:

  • Componenti ridondanti La duplicazione di alcuni componenti più facilmente soggetti a malfunzionamenti, come l'alimentatore, migliora la capacità di recupero del firewall, poiché quando il primo componente viene meno può subentrare il secondo senza alcun effetto sul funzionamento del dispositivo. I firewall di fascia economica in genere non includono opzioni ridondanti. Sarebbe infatti troppo costoso aggiungere funzionalità di recupero, soprattutto perché ciò di norma non comporta l'aggiunta di potenza di elaborazione.

  • Duplicazione di dispositivi La duplicazione del dispositivo firewall consente di creare un sistema con capacità di recupero totale. Ma questo ha un costo considerevole, poiché richiede che siano duplicati tutti i cavi di rete e la connettività nei router o negli switch a cui è collegato il firewall. Tuttavia, a seconda del firewall in uso, un'operazione del genere consente anche di raddoppiare la velocità effettiva disponibile. In teoria tutti i firewall, dai più piccoli ai più grandi, possono essere duplicati, ma in pratica è necessario che sia presente anche un meccanismo di commutazione software che potrebbe non essere disponibile nei firewall più piccoli.

Scalabilità

Quali sono i requisiti di velocità effettiva dei firewall? La velocità effettiva può essere valutata in termini di bit al secondo e di pacchetti trasferiti al secondo. Se si tratta di una nuova iniziativa imprenditoriale non è possibile conoscere quali siano i requisiti di velocità effettiva e se l'iniziativa ha successo tali requisiti potrebbero crescere rapidamente. Per gestire la possibilità di crescita occorre scegliere una soluzione firewall che preveda l'opzione di scalabilità verticale quando la velocità effettiva aumenta. La scalabilità può essere garantita in due modi: aggiungendo più componenti o installando un altro firewall in parallelo.

Funzionalità richieste

Quali sono le funzionalità firewall richieste? Sulla base delle valutazioni dei rischi condotte a fronte dei servizi forniti nell'organizzazione, è possibile determinare quali tipi di funzionalità firewall sono necessari per proteggere le risorse che garantiscono i servizi. È opportuno chiedersi se siano necessarie reti private virtuali (VPN), poiché questo incide sulla progettazione.

Inizio pagina

Attacchi al sistema e difesa

Questa sezione include un riepilogo di alcuni degli attacchi al sistema più noti e illustra i motivi per cui è consigliabile utilizzare il servizio firewall come prima linea difensiva.

Attacchi esterni

Internet è uno strumento efficace nella mani di coloro che desiderano causare danni alle organizzazioni o appropriarsi di segreti commerciali per imporsi sulla concorrenza. Se si installa un firewall perimetrale e si esamina il registro delle intrusioni si resterà stupefatti dal volume di tali attacchi. La maggior parte delle intrusioni si limitano a verificare se il computer risponde e a individuare i servizi in esecuzione. Sebbene sembri trattarsi di operazioni innocue, consentono ai pirati informatici di accedere al computer e attaccare il servizio, una volta rilevati i punti deboli del sistema.

Attacchi interni

Non tutti gli attacchi partono da Internet; è necessario proteggere le informazioni riservate anche dagli utenti interni alla rete aziendale. La maggior parte delle organizzazioni gestisce informazioni riservate che devono essere protette da determinati utenti della rete interna, inclusi dipendenti, fornitori, appaltatori di servizi e clienti.

Tentativi di intrusione

I tentativi di intrusione possono assumere diverse forme e descriverle tutte non servirebbe a molto poiché ne vengono ideate di nuove ogni giorno. Alcune intrusioni, come il ping di un indirizzo server, possono sembrare inoffensive. Tuttavia, dopo aver rilevato la presenza di un server, il pirata informatico può tentare di sferrare un attacco più serio. In altre parole, tutte le intrusioni devono essere considerate potenzialmente pericolose. Di seguito sono riportate alcune delle intrusioni più comuni:

  • Sniffer di pacchetti Uno sniffer è un'applicazione software o un dispositivo hardware che si connette alla LAN e acquisisce informazioni dai frame Ethernet. Lo scopo originale di questi sistemi era quello di analizzare e risolvere i problemi del traffico Ethernet o di eseguire ricerche approfondite nei frame per esaminare singoli pacchetti IP. Gli sniffer operano in modalità promiscua, ovvero, ascoltano ogni pacchetto sul cavo fisico. Molte applicazioni, come Telnet, inviano informazioni relative a nomi utente e password in forma di testo non crittografato, che può essere visualizzato da prodotti sniffer. Un pirata informatico può, quindi, con uno sniffer ottenere l'accesso a molte applicazioni.

    I firewall non sono in grado di proteggere il sistema dallo sniffing, poiché uno sniffer non genera alcun traffico di rete e molti dei potenziali intrusi sono utenti interni al firewall. Il software di sniffing può essere scaricato gratuitamente e senza alcuna difficoltà da Internet e gli utenti interni possono, quindi, eseguirlo sui loro PC ed esaminare i pacchetti quando vengono passati. Se nei PC sono in esecuzione sistemi operativi Microsoft(R) Windows(R), per eseguire uno sniffer occorre, in genere, disporre di privilegi di accesso amministratore e questo limita il numero di utenti in grado di tentare operazioni di sniffing. Tuttavia, possono comunque eseguire sniffer gli utenti con privilegi amministratore, che potrebbero essere numerosi. Oltre ad accedere a dati riservati, potrebbero visualizzare password non crittografate, come si è sottolineato in precedenza. Poiché sono molti gli utenti che utilizzano la stessa password per ogni applicazione, è facile inferire quale siano le password codificate e ottenere ulteriore accesso. Di seguito sono riportate diverse misure per contrastare lo sniffing. La principale contromisura adottabile consiste nell'utilizzare password con crittografia avanzata, ma questo argomento non rientra nell'ambito del presente modulo.

  • Spoofing IP Lo spoofing IP consiste nel modificare l'indirizzo di origine di un pacchetto IP per nascondere l'identità del mittente. Il routing in Internet utilizza solo l'indirizzo di destinazione per inviare il pacchetto e ignora l'indirizzo di origine. Un hacker può quindi inviare un pacchetto dannoso al sistema e mascherare l'indirizzo di origine in modo che non sia possibile sapere da dove proviene. Lo spoofing non è necessariamente dannoso ma segnala che è in corso un'intrusione. L'indirizzo potrebbe essere esterno alla rete, per nascondere l'identità dell'intruso, o corrispondere a uno degli indirizzi interni attendibili con privilegi di accesso. Lo spoofing viene in genere utilizzato per gli attacchi di tipo Denial of Service (DoS), che verranno descritti di seguito.

  • Attacchi Denial of Service Gli attacchi DoS sono tra i più difficili da prevenire. A differenza di altri tipi di attacchi, non provocano danni permanenti alla rete. Tentano, piuttosto, di interrompere il funzionamento della rete bersagliando un particolare computer, che può essere un server o una periferica di rete, o riducendo la velocità effettiva dei collegamenti di rete fino a compromettere le prestazioni al punto tale da causare malcontento tra i clienti e conseguenti danni all'organizzazione. Gli attacchi Distributed DoS (DDoS) vengono sferrati da molti computer che concentrano il bombardamento sul sistema. I computer che attaccano il sistema non sono in realtà gli autori dell'attacco. Hanno semplicemente subito a loro volta intrusioni da parte di pirati informatici che hanno sfruttato vulnerabilità esistenti a livello di protezione.

  • Attacchi a livello di applicazione Gli attacchi a livello di applicazione sono spesso i più pubblicizzati e, sfruttano, in genere, punti deboli molto noti di applicazioni quali server Web e server di database. Il problema, in particolare per i server Web, risiede nel fatto che tali sistemi sono progettati per consentire l'accesso a utenti pubblici sconosciuti e non considerabili attendibili. La maggior parte degli attacchi sfrutta difetti noti del prodotto. Questo significa che la miglior difesa consiste nell'installare gli ultimi aggiornamenti messi a disposizione dai produttori. In pochi giorni, a partire dal suo rilascio nel gennaio 2003, il pericolosissimo worm SQL (Structured Query Language) Slammer ha compromesso 35.000 sistemi, sfruttando una nota vulnerabilità di Microsoft® SQL Server™ 2000 per cui Microsoft aveva già messo a disposizione una correzione nell'agosto 2002. Tale effetto dirompente è stato possibile perché molti amministratori non avevano applicato l'aggiornamento consigliato e non disponevano di firewall adeguati, che avrebbero potuto bloccare i pacchetti destinati alla porta utilizzata dal worm. In situazioni del genere, tuttavia, un firewall non è altro che una barriera; i produttori consigliano di applicare aggiornamenti a tutti i prodotti, soprattutto per evitare attacchi a livello di applicazione.

  • Network Reconnaissance La ricognizione di rete è il processo di scansione delle reti mirato a individuare indirizzi IP validi, nomi DNS (Domain Name System) e porte IP prima di lanciare un attacco. La ricognizione di rete in se stessa non è pericolosa. Tuttavia, sapere quali sono gli indirizzi in uso consente di lanciare attacchi mirati a danneggiare il sistema. Se si esaminano i registri di un firewall, si noterà che la maggior parte delle intrusioni è di questo tipo. Le operazioni più comuni includono la scansione delle porte di attesa TCP (Transport Control Protocol) e UDP (User Datagram Protocol), nonché di altre porte di attesa molto note come quelle utilizzate da Microsoft SQL Server, NetBIOS (Network Basic Input/Output System), HTTP (Hypertext Transfer Protocol) e SMTP (Simple Mail Transport Protocol). Tali letture richiedono una risposta, grazie alla quale l'hacker viene a sapere che il server esiste ed esegue uno di questi servizi. Molte operazioni di scansione possono essere evitate utilizzando un router di confine o un firewall ma la disattivazione di alcuni dei servizi citati può compromettere le funzionalità diagnostiche della rete.

Inizio pagina

Definizione del dispositivo

Un firewall è un meccanismo per il controllo del flusso del traffico IP tra due reti. I dispositivi firewall operano in genere a livello 3 del modello OSI, sebbene alcuni di essi possano operare anche a livelli più alti.

Un firewall interno offre, in genere, i seguenti vantaggi:

  • Difesa dei server interni dagli attacchi di rete.

  • Applicazione di criteri di accesso e utilizzo della rete.

  • Monitoraggio del traffico e generazione di avvisi al rilevamento di operazioni sospette.

È importante notare che i firewall consentono di ridurre solo determinati rischi per la protezione. Non consentono, in genere, di evitare i danni che possono essere causati a un server sfruttando una vulnerabilità del software. I firewall devono essere implementati come parte integrante dell'architettura di protezione completa di un'organizzazione.

Inizio pagina

Funzionalità firewall

A seconda delle funzionalità supportate da un firewall, il traffico viene consentito o bloccato mediante un'ampia gamma di tecniche che garantiscono gradi diversi di protezione. Le seguenti funzionalità firewall sono elencate in ordine crescente di complessità:

  • Filtri di input della scheda di rete.

  • Filtri di pacchetti statici.

  • Conversione degli indirizzi di rete (NAT, Network Address Translation).

  • Stateful Inspection.

  • Controllo a livello di circuito.

  • Filtraggio a livello di applicazione.

In generale, i firewall che prevedono funzionalità complesse supportano anche funzionalità più semplici. Tuttavia, prima di scegliere un prodotto è opportuno leggere con attenzione le informazioni messe a disposizione dal fornitore, perché possono esistere sottili differenze tra le funzionalità presunte e reali di un firewall. Per scegliere un firewall occorre esaminare le funzionalità offerte e verificare che il prodotto garantisca le prestazioni indicate nelle specifiche.

Filtri di input della scheda di rete

Il filtraggio dell'input della scheda di rete consente di esaminare gli indirizzi di origine e di destinazione e altre informazioni del pacchetto in ingresso per bloccarlo o lasciarlo passare. Il filtro viene applicato solo al traffico in ingresso e non è in grado di controllare il traffico in uscita. La sua azione consiste nel confrontare gli indirizzi IP e i numeri di porta UDP e TCP, nonché il protocollo del traffico, TCP, UDP e GRE (Generic Routing Encapsulation). Il filtraggio dell'input della scheda di rete consente di negare, in modo rapido ed efficace, l'accesso ai pacchetti in ingresso standard che soddisfano i criteri configurati nel firewall. Tuttavia, l'azione di controllo può essere facilmente aggirata, poiché il filtro si limita a far corrispondere le intestazioni del traffico IP e opera sulla base del presupposto che il traffico da filtrare segua gli standard IP e non sia stato opportunamente predisposto per eludere il filtraggio.

Filtri di pacchetti statici

Si tratta di filtri simili a quelli dell'input della scheda di rete; si limitano, infatti, a confrontare le intestazioni IP per stabilire se consentire o meno il passaggio del traffico attraverso l'interfaccia. Tuttavia, i filtri di pacchetti statici consentono di controllare le comunicazioni in ingresso e in uscita verso un'interfaccia. Inoltre, aggiungono alla funzione di filtraggio della scheda di rete la possibilità di controllare se il bit ACK (Acknowledged) sia impostato nell'intestazione IP. Il bit ACK indica se il pacchetto è una nuova richiesta o una richiesta di ritorno di una originale. Non consente di verificare che il pacchetto sia stato originariamente inviato dall'interfaccia che lo riceve; la sua funzione consiste esclusivamente nel controllare, sulla base delle convenzioni delle intestazioni IP, se il traffico in arrivo nell'interfaccia sia di ritorno.

Questa tecnica è valida solo per il protocollo TCP e non per quello UDP. Come il filtraggio dell'input della scheda di rete, anche il filtraggio di pacchetti statici è molto veloce ma le sue funzionalità sono limitate e può essere eluso predisponendo opportunamente il traffico.

Conversione degli indirizzi di rete

All'interno della gamma di indirizzi IP mondiale, alcune serie di indirizzi vengono definite indirizzi privati. Queste serie di indirizzi devono essere utilizzate all'interno dell'organizzazione e non hanno alcun significato in Internet. Il traffico destinato a uno di questi indirizzi IP non può essere indirizzato attraverso Internet, quindi assegnare un indirizzo privato alle periferiche interne significa garantire loro una forma di protezione dalle intrusioni. Tuttavia accade spesso che le periferiche interne debbano accedere a Internet. In questo caso interviene la tecnologia di conversione degli indirizzi di rete (NAT) a convertire l'indirizzo privato in un indirizzo Internet.

Sebbene NAT non sia propriamente una tecnologia firewall, l'occultamento del reale indirizzo IP di un server impedisce agli autori degli attacchi di acquisire informazioni importanti sul server.

Stateful Inspection

In modalità Stateful Inspection tutto il traffico in uscita viene registrato in una tabella di stato. Quando il traffico di connessione ritorna all'interfaccia, viene eseguito un controllo nella tabella di stato per verificare che il traffico sia stato effettivamente originato dall'interfaccia. La tecnologia Stateful Inspection è leggermente più lenta del filtraggio di pacchetti statici. Tuttavia, garantisce che il traffico sia autorizzato a passare solo se corrisponde alle richieste del traffico in uscita. La tabella di stato contiene elementi quali gli indirizzi IP di destinazione e di origine, la porta chiamata e l'host di origine.

Alcuni firewall memorizzano nella tabella di stato più informazioni di altri riportando, ad esempio, i frammenti IP inviati e ricevuti. Il firewall può verificare che il traffico venga elaborato al momento della restituzione di tutte le informazioni frammentate o solo di una parte di esse. L'implementazione della funzionalità di Stateful Inspection varia a seconda del firewall, quindi occorre leggere attentamente la documentazione del dispositivo. La funzionalità di Stateful Inspection consente, in genere, di ridurre i rischi associati alla ricognizione della rete e allo spoofing IP.

Controllo a livello di circuito

Con il filtraggio a livello di circuito è possibile esaminare sessioni invece di connessioni o pacchetti. Una sessione può includere più connessioni. Come accade con il filtraggio di pacchetti dinamici, le sessioni vengono stabilite solo in risposta a una richiesta utente. Il filtraggio a livello di circuito garantisce un supporto incorporato per protocolli con connessioni secondarie, quali, ad esempio il protocollo FTP e i protocolli di flussi multimediali. Questo tipo di filtro consente, in genere, di ridurre il rischio associato agli attacchi di ricognizione di rete, DoS e di spoofing IP.

Filtraggio a livello di applicazione

Il livello più sofisticato di controllo del traffico del firewall è rappresentato dal filtraggio a livello di applicazione. Un buon filtro applicativo consente di analizzare un flusso di dati relativo a una determinata applicazione e garantisce particolari attività di elaborazione, quali il controllo, lo screening o il blocco, il reindirizzamento e la modifica dei dati al passaggio attraverso il firewall. Questo meccanismo viene utilizzato per proteggere il sistema da comandi SMTP non sicuri o attacchi sferrati contro il server DNS interno. In genere, è possibile aggiungere al firewall strumenti di terze parti per lo screening del contenuto, quali applicazioni per il rilevamento dei virus, l'analisi lessicale e la categorizzazione dei siti.

Un firewall a livello di applicazione è in grado di controllare molti protocolli diversi sulla base del traffico che passa attraverso di esso. A differenza di un firewall di tipo proxy, che esamina in genere il traffico Internet di tipo HTTP, download FTP e SSL, il firewall applicativo ha maggiore controllo sui percorsi del traffico in rete. Un firewall a livello di applicazione è, ad esempio, in grado di consentire il passaggio solo al traffico UDP generato all'interno dei limiti del firewall. Se un host Internet è impostato per eseguire una scansione delle porte di un firewall di tipo Stateful Inspection al fine di verificare se quest'ultimo consente il traffico DNS nell'ambiente, la scansione evidenzierebbe probabilmente che la ben nota porta associata al DNS è aperta, ma una volta in corso l'attacco, il firewall rifiuterebbe le richieste perché provenienti dall'esterno della rete. Un firewall a livello di applicazione potrebbe aprire le porte dinamicamente valutando se il traffico ha un'origine interna al sistema.

La funzionalità firewall a livello applicativo consente di ridurre i rischi associati allo spoofing IP, agli attacchi di tipo DoS e ad alcuni attacchi a livello di applicazione, alla ricognizione di rete e a virus e Trojan horse. Tuttavia, questo genere di firewall presenta lo svantaggio di richiedere più potenza di elaborazione dei firewall con funzionalità di filtraggio statico o con stato e di rallentare ulteriormente, rispetto a questi ultimi, il passaggio del traffico. Quando si utilizzano firewall applicativi è molto importante stabilire quali siano le funzioni garantite a livello delle applicazioni.

Il filtraggio a livello di applicazione viene ampiamente utilizzato per proteggere servizi pubblici. Se l'organizzazione ha un archivio in linea che raccoglie numeri di carta di credito e altre informazioni personali dei clienti, sarebbe prudente prendere tutte le precauzioni del caso al fine di garantire il più alto livello di protezione dei dati. La funzionalità a livello di applicazione garantisce che il traffico passato su una porta sia appropriato. A differenza dei firewall con filtro dei pacchetti e di tipo Stateful Inspection, che si limitano a controllare la porta e l'indirizzo di origine e di destinazione, i firewall che supportano la funzionalità di filtraggio a livello di applicazione possono esaminare i dati e i comandi passati nella rete.

La maggior parte dei firewall con funzionalità di filtro a livello di applicazione prevede il filtraggio solo del traffico con testo in chiaro quale, ad esempio, quello rappresentato da un servizio di messaggistica con supporto proxy o da servizi HTTP e FTP. È importante ricordare che un firewall che supporta tale funzionalità può controllare il traffico in entrata e in uscita dall'ambiente. Un'altro vantaggio dei firewall applicativi consiste nella possibilità di controllare il traffico DNS per individuare comandi specifici del DNS al passaggio attraverso il firewall. Questo ulteriore livello di protezione garantisce che gli utenti o i pirati informatici non possano mascherare informazioni nei tipi di traffico consentiti.

Inizio pagina

Classi di firewall

Nella sezione seguente sono riportate diverse classi di firewall, ciascuna delle quali garantisce determinate funzionalità. È possibile avvalersi di specifiche classi di firewall per rispondere a specifici requisiti di progettazione di un'architettura IT.

Il raggruppamento dei firewall in classi consente di separare l'hardware dai requisiti del servizio. I requisiti del servizio possono essere quindi confrontati con le funzionalità delle classi. Se un firewall rientra in una determinata classe, può supportare tutti i servizi che si richiedono alla classe di firewall.

Di seguito sono riportate le diverse classi:

  • Classe 1 - Firewall personali.

  • Classe 2 - Router con funzionalità firewall.

  • Classe 3 - Firewall hardware di fascia bassa.

  • Classe 4 - Firewall hardware di fascia alta.

  • Classe 5 - Firewall di tipo server di fascia alta.

Alcune delle classi si sovrappongono. La sovrapposizione consente di ascrivere un tipo di soluzione firewall a più classi. Molte classi prevedono, inoltre, l'utilizzo di più modelli di hardware dello stesso fornitore, in modo che l'organizzazione sia libera di scegliere il modello più adatto alle sue esigenze presenti e future. Oltre al prezzo e alla serie di funzionalità offerta, un altro fattore su cui è possibile basare la classificazione dei firewall è rappresentato dalle prestazioni o dalla velocità effettiva. Tuttavia, per la maggior parte delle classi di firewall, i produttori non forniscono cifre relative alla velocità effettiva. Nei casi in cui tali valori vengono forniti, cosa che accade in genere per i dispositivi firewall di tipo hardware, non viene seguito alcun processo di misurazione standard e questo rende difficili i confronti tra i diversi produttori. Ad esempio, una delle unità di misura in uso è il numero di bit al secondo (bps), ma poiché il firewall passa di fatto pacchetti IP, questa unità di misura non ha alcun significato se non viene specificata la dimensione del pacchetto utilizzata per misurare la velocità.

Nelle seguenti sottosezioni le classi di firewall vengono definite in maggiore dettaglio.

Inizio pagina

Classe 1 — Firewall personali

Un firewall personale è un servizio software, in esecuzione in un sistema operativo, che offre semplici funzionalità firewall per un PC. L'uso di firewall personali è cresciuto di pari passo all'aumento del numero di connessioni Internet permanenti, che si stanno rapidamente affermando su quelle remote.

Sebbene sia progettato per proteggere un singolo PC, un firewall personale è in grado di proteggere anche una rete di piccole dimensioni, se il computer in cui è installato condivide la connessione a Internet con altri computer della rete interna. Tuttavia, questo tipo di firewall ha prestazioni limitate e riduce anche le prestazioni del PC in cui è installato. I meccanismi di protezione sono in genere meno efficaci di quelli di una soluzione firewall dedicata, perché si limitano a bloccare gli indirizzi IP e delle porte, sebbene per un PC non sia normalmente richiesto un livello di protezione molto elevato.

I firewall personali vengono forniti gratuitamente come parte di un sistema operativo o sono disponibili a un costo estremamente ridotto. Svolgono bene la funzione per cui sono stati progettati ma se ne sconsiglia l'utilizzo in un'azienda, anche se solo per uffici periferici di piccole dimensioni, a causa delle prestazioni e delle funzionalità limitate. I firewall personali sono, tuttavia, particolarmente adatti a utenti mobili che operano su computer laptop.

Nella tabella che segue sono riportate le funzionalità che potrebbero essere disponibili nei firewall personali, che variano molto per capacità e prezzo. Tuttavia, l'assenza di una specifica funzionalità, in particolare in un laptop, può non essere così importante.

Tabella 1: Classe 1 — Firewall personali

Caratteristica del firewall Valore
Funzionalità di base supportate La maggior parte dei firewall personali
supporta i filtri di pacchetti statici e le tecnologie NAT e Stateful Inspection,
mentre solo alcuni supportano il controllo a livello di circuito
e/o il filtraggio a livello di applicazione.
Configurazione Automatica (è disponibile anche l'opzione manuale)
Blocco o autorizzazione degli indirizzi IP
Blocco o autorizzazione del protocollo o dei numeri di porta
Blocco o autorizzazione dei messaggi ICMP in ingresso
Controllo dell'accesso in uscita
Protezione delle applicazioni Possibile
Segnalazioni acustiche o avvisi visivi Possibile
File di registro degli attacchi Possibile
Avvisi in tempo reale A seconda del prodotto
Supporto VPN No (nella maggior parte dei casi)
Gestione remota No (nella maggior parte dei casi)
Supporto da parte del produttore Diverse possibilità a seconda del prodotto
Opzione di elevata disponibilità No
Numero di sessioni simultanee Da 1 a 10
Possibilità di aggiornamento modulare (hardware o software) Da nessuna a limitata
Categoria di prezzo Bassa (prodotti in alcuni casi gratuiti)
#### Vantaggi Tra i vantaggi dei firewall personali sono inclusi: - Economicità Quando è richiesto un numero limitato di licenze, i firewall personali sono una scelta estremamente economica. Nelle versioni di Windows XP è integrato un firewall personale. Sono inoltre disponibili, gratuitamente o a un costo ridotto, prodotti aggiuntivi che funzionano con altre versioni di Windows o altri sistemi operativi. - Semplicità di configurazione I prodotti firewall personali hanno in genere configurazioni di base pronte all'uso con opzioni di configurazione semplici e dirette. #### Svantaggi Tra gli svantaggi dei firewall personali sono inclusi: - Difficoltà di gestione centralizzata I firewall personali devono essere configurati in ogni client, causando quindi un ulteriore carico di gestione. - Esclusivo controllo di base La configurazione tende a essere solo una combinazione di filtraggio di pacchetti statici e blocco di applicazioni basato sulle autorizzazioni. - Limitazioni delle prestazioni I firewall personali sono progettati per proteggere i singoli PC. Se li si utilizza in un PC che funge da router per una rete di piccole dimensioni le prestazioni ne risulteranno compromesse. [](#mainsection)[Inizio pagina](#mainsection) ### Classe 2 — Router con funzionalità firewall I router supportano in genere una o più delle funzionalità firewall descritte in precedenza; possono essere suddivisi in dispositivi di fascia bassa, progettati per le connessioni Internet, e router tradizionali di fascia alta. I router di fascia bassa offrono funzionalità firewall di base per bloccare o autorizzare indirizzi IP e numeri di porta specifici e si avvalgono della tecnologia NAT per nascondere gli indirizzi IP interni. Includono spesso la funzionalità firewall come opzione standard, ottimizzata per bloccare le intrusioni da Internet e, sebbene non richiedano alcuna configurazione, possono essere perfezionati con operazioni di configurazione. I router di fascia alta possono essere configurati per restringere l'accesso bloccando le intrusioni più comuni, quali, ad esempio, i ping, e implementando altre restrizioni sugli indirizzi IP e le porte attraverso l'utilizzo di elenchi di controllo di accesso (ACL). Potrebbero essere disponibili funzionalità firewall aggiuntive che garantiscono il filtraggio di pacchetti di tipo Stateful Inspection in alcuni router. Nei router di fascia alta, le funzionalità firewall sono simili a quelle di un dispositivo firewall hardware; hanno un costo più basso ma garantiscono anche una velocità effettiva più bassa. **Tabella 2 Classe 2— Router con funzionalità firewall**
Caratteristica del firewall Valore
Funzionalità di base supportate La maggior parte dei router con funzionalità firewall supportano filtri di pacchetti statici. I router di fascia più bassa supportano in genere NAT, quelli di fascia più alta, invece, possono supportare il filtraggio in modalità Stateful Inspection e/o a livello di applicazione.
Configurazione In genere automatica per i router di fascia più bassa (con opzioni manuali). Spesso manuale nei router di fascia più alta.
Blocco o autorizzazione degli indirizzi IP
Blocco o autorizzazione del protocollo o dei numeri di porta
Blocco o autorizzazione dei messaggi ICMP in ingresso
Controllo dell'accesso in uscita
Protezione delle applicazioni Possibile
Segnalazioni acustiche o avvisi visivi Sì (nella maggior parte dei casi)
File di registro degli attacchi In molti casi
Avvisi in tempo reale In molti casi
Supporto VPN Frequente nei router di fascia più bassa, non così comune in quelli di fascia più alta. Per questa attività sono disponibili dispositivi o server dedicati.
Gestione remota
Supporto da parte del produttore Di norma limitato nei router di fascia più bassa e di buon livello in quelli di fascia più alta.
Disponibilità dell'opzione di elevata disponibilità Fascia bassa: no
Fascia alta: sì
Numero di sessioni simultanee 10 - 1.000
Possibilità di aggiornamento modulare (hardware o software) Fascia bassa: no
Fascia alta: limitata
Categoria di prezzo Da bassa ad alta
#### Vantaggi Tra i vantaggi dei router con funzionalità firewall sono inclusi: - Economicità della soluzione L'attivazione di una funzionalità firewall esistente nel router non comporta costi supplementari rispetto al prezzo del router e non richiede hardware aggiuntivo. - Possibilità di consolidamento della configurazione La configurazione della funzionalità firewall può essere eseguita quando il router viene configurato per le normali operazioni, riducendo così al minimo le risorse di gestione necessarie. Questa soluzione è particolarmente adatta per le filiali, poiché consente di ridurre l'hardware di rete e semplificarne la gestione. - Protezione degli investimenti Il personale operativo ha dimestichezza con la configurazione e la gestione del router con funzionalità firewall, quindi non è richiesto un periodo di apprendimento. Il cablaggio di rete è semplificato poiché non viene installato alcun componente hardware aggiuntivo e questo semplifica anche la gestione di rete. #### Svantaggi Tra gli svantaggi dei router con funzionalità firewall sono inclusi: - Funzionalità limitata In generale, i router di fascia bassa offrono solo funzionalità firewall di base. I router di fascia alta offrono, di norma, funzionalità firewall di livello superiore ma necessitano di numerose operazioni di configurazione di cui la maggior parte viene eseguita mediante l'aggiunta di controlli che vengono facilmente dimenticati. Questo ovviamente rende difficile eseguire una corretta configurazione. - Esclusivo controllo di base La configurazione tende a essere solo una combinazione di filtraggio di pacchetti statici e blocco di applicazioni basato sulle autorizzazioni. - Impatto sulle prestazioni L'utilizzo della funzionalità firewall compromette le prestazioni del router e rallenta la funzione di routing, che costituisce l'attività principale del dispositivo. - Prestazioni del file di registro L'utilizzo di un file di registro per rilevare le attività anomale può compromettere le prestazioni del router, in particolar modo quando subisce un attacco. [](#mainsection)[Inizio pagina](#mainsection) ### Classe 3 — Firewall hardware di fascia bassa Nella fascia economica del mercato dei firewall hardware si trovano le unità Plug and Play, che non richiedono alcuna configurazione o solo un numero estremamente ridotto di operazioni. Questi dispositivi incorporano spesso funzionalità switch e/o VPN. I firewall hardware di fascia bassa sono adatti alle piccole aziende e all'uso interno in organizzazioni più grandi. Offrono in genere funzionalità di filtro statico e di gestione remota di base. Nei dispositivi dei produttori più importanti potrebbe essere eseguito lo stesso software presente nei dispositivi di fascia più alta, con la possibilità di aggiornamento al prodotto avanzato in caso di necessità. **Tabella 3 Classe 3— Firewall hardware di fascia bassa**
Caratteristica del firewall Valore
Funzionalità di base supportate La maggior parte dei firewall hardware di fascia bassa supporta i filtri dei pacchetti e la tecnologia NAT. Può supportare la tecnologia Stateful Inspection e/o il filtraggio a livello di applicazione.
Configurazione Automatica (è disponibile anche l'opzione manuale)
Blocco o autorizzazione degli indirizzi IP
Blocco o autorizzazione del protocollo o dei numeri di porta
Blocco o autorizzazione dei messaggi ICMP in ingresso
Controllo dell'accesso in uscita
Protezione delle applicazioni No (nella maggior parte dei casi)
Segnalazioni acustiche o avvisi visivi No (nella maggior parte dei casi)
File di registro degli attacchi No (nella maggior parte dei casi)
Avvisi in tempo reale No (nella maggior parte dei casi)
Supporto VPN In alcuni casi
Gestione remota
Supporto da parte del produttore Limitato
Disponibilità dell'opzione di elevata disponibilità No (nella maggior parte dei casi)
Numero di sessioni simultanee > 10-7.500
Possibilità di aggiornamento modulare (hardware o software) Limitato
Categoria di prezzo Bassa
#### Vantaggi Tra i vantaggi dei firewall hardware di fascia bassa sono inclusi: - Economicità I firewall di fascia bassa hanno prezzi contenuti. - Semplicità di configurazione Non è praticamente richiesta alcuna configurazione. #### Svantaggi Tra gli svantaggi dei firewall hardware di fascia bassa sono inclusi: - Funzionalità limitata In generale, i firewall hardware di fascia bassa offrono solo funzionalità di base. Non possono essere eseguiti in parallelo per garantire la ridondanza. - Velocità effettiva estremamente ridotta I firewall hardware di fascia bassa non sono progettati per gestire connessioni con velocità effettiva elevata e questo può causare colli di bottiglia. - Supporto tecnico limitato da parte del produttore Trattandosi di prodotti con costi contenuti, il supporto del produttore in genere si limita alla posta elettronica e/o a un sito Web. - Aggiornabilità limitata In genere, non è possibile eseguire aggiornamenti hardware, sebbene siano spesso disponibili aggiornamenti firmware periodici. [](#mainsection)[Inizio pagina](#mainsection) ### Classe 4 — Firewall hardware di fascia alta Nella fascia alta del mercato dei firewall hardware si trovano prodotti caratterizzati da prestazioni e capacità di recupero elevate, adatti a una rete aziendale di grandi dimensioni o a un provider di servizi. Questi dispositivi offrono in genere il più alto grado di protezione senza ridurre le prestazioni della rete. La capacità di recupero può essere ottenuta aggiungendo un secondo firewall, in esecuzione come unità hot standby, che gestisca la tabella delle connessioni corrente tramite una sincronizzazione automatica in modalità stato (stateful). È consigliabile utilizzare firewall in ogni rete connessa a Internet, poiché le intrusioni sono all'ordine del giorno, così come gli attacchi DoS e i tentativi di acquisizione e di danneggiamento dei dati. Le unità firewall hardware di fascia alta sono adatte alle sedi centrali o agli uffici principali di un'azienda. **Tabella 4: Class 4 — firewall hardware di fascia alta**
Caratteristica del firewall Valore
Funzionalità di base supportate La maggior parte dei firewall hardware di fascia alta supporta i filtri dei pacchetti e la tecnologia NAT. Può supportare la tecnologia Stateful Inspection e/o il filtraggio a livello di applicazione.
Configurazione Manuale (nella maggior parte dei casi)
Blocco o autorizzazione degli indirizzi IP
Blocco o autorizzazione del protocollo o dei numeri di porta
Blocco o autorizzazione dei messaggi ICMP in ingresso
Controllo dell'accesso in uscita
Protezione delle applicazioni Potenziale
Segnalazioni acustiche o avvisi visivi
File di registro degli attacchi
Avvisi in tempo reale
Supporto VPN Potenziale
Gestione remota
Supporto da parte del produttore Di buon livello
Disponibilità dell'opzione di elevata disponibilità
Numero di sessioni simultanee > 7.500-500.000
Possibilità di aggiornamento modulare (hardware o software)
Categoria di prezzo Alto
#### Vantaggi Tra i vantaggi dei firewall hardware di fascia alta sono inclusi: - Prestazioni elevate I prodotti firewall hardware sono progettati per un singolo scopo e garantiscono livelli elevati di blocco delle intrusioni compromettendo solo minimamente le prestazioni. - Elevata disponibilità I firewall hardware di fascia alta possono essere collegati tra loro per garantire una disponibilità e un bilanciamento del carico ottimali. - Sistemi modulari Sia l'hardware che il software possono essere aggiornati per soddisfare esigenze in continua evoluzione. Gli aggiornamenti hardware possono includere porte Ethernet aggiuntive, mentre quelli software possono includere la funzione di rilevamento di nuovi metodi di intrusione. - Gestione remota I firewall hardware di fascia alta offrono funzionalità di gestione remota migliori di quelle di prodotti omologhi di fascia bassa. - Capacità di recupero I firewall hardware di fascia alta possono avere funzionalità di disponibilità e capacità di recupero come le modalità hot o active standby con una seconda unità. - Filtraggio a livello di applicazione A differenza dei corrispettivi prodotti di fascia bassa, che eseguono, in genere, attività di filtro solo a livello 3 e talvolta 4 del modello OSI, i firewall hardware di fascia alta garantiscono il filtraggio ai livelli 5, 6 e 7 per le applicazioni più comuni. #### Svantaggi Tra gli svantaggi dei firewall hardware di fascia alta sono inclusi: - Costi elevati I firewall hardware di fascia alta sono in genere costosi. Sebbene sia possibile acquistare alcuni prodotti per appena 100 euro, i costi salgono per i firewall aziendali. Il prezzo del dispositivo dipende spesso dal numero di sessioni simultanee, dalla velocità effettiva e dai requisiti di disponibilità. - Complessità di configurazione e gestione Poiché questa classe di firewall offre molte più funzionalità dei prodotti di fascia bassa, richiede anche attività di configurazione e gestione più complesse. [](#mainsection)[Inizio pagina](#mainsection) ### Classe 5 — Firewall di tipo server di fascia alta I firewall di tipo server di fascia alta aggiungono funzionalità firewall a un server di fascia alta, garantendo una protezione rapida ed efficace nei sistemi hardware e software standard. Il vantaggio di questo tipo di dispositivi consiste nella possibilità di utilizzare hardware o software molto noto e ciò significa un numero ridotto di elementi di inventario, formazione e gestione semplificata, affidabilità ed espansibilità. Molti dei firewall hardware di fascia alta sono implementati nelle piattaforme hardware standard con sistemi operativi standard (non visibili) e sono quindi molto simili da un punto di vista tecnico e in termini di prestazioni ai firewall di tipo server. Tuttavia, poiché il sistema operativo è ancora visibile, la funzionalità firewall del server può essere aggiornata per aumentarne la capacità di recupero con tecniche come il clustering. Inoltre, poiché il firewall di tipo server altro non è che un server che esegue un sistema operativo molto comune, è possibile aggiungervi software e funzionalità di diversi fornitori, a differenza dei firewall hardware che devono utilizzare prodotti di un unico fornitore. La dimestichezza con il sistema operativo può consentire, inoltre, una protezione di tipo firewall più efficace, poiché la configurazione dei prodotti appartenenti ad alcune delle altre classi indicate richiede competenze di livello piuttosto elevato. Questa classe è adatta a quelle situazioni in cui sono stati fatti elevati investimenti in una particolare piattaforma hardware o software, poiché l'uso della stessa piattaforma per il firewall rende più semplici le attività di gestione. I prodotti di questa classe garantiscono inoltre funzionalità di caching di grande efficacia. **Tabella 5: Class 5 — firewall di tipo server di fascia alta**
Caratteristica del firewall Valore
Funzionalità supportate La maggior parte dei firewall di tipo server di fascia alta supporta i filtri dei pacchetti statici e la tecnologia NAT. Può supportare anche la tecnologia Stateful Inspection e/o il filtraggio a livello di applicazione.
Configurazione Manuale (nella maggior parte dei casi)
Blocco o autorizzazione degli indirizzi IP
Blocco o autorizzazione del protocollo o dei numeri di porta
Blocco o autorizzazione dei messaggi ICMP in ingresso
Controllo dell'accesso in uscita
Protezione delle applicazioni Potenziale
Segnalazioni acustiche o avvisi visivi
File di registro degli attacchi
Avvisi in tempo reale
Supporto VPN Potenziale
Gestione remota
Supporto da parte del produttore Di buon livello
Disponibilità dell'opzione di elevata disponibilità
Numero di sessioni simultanee Oltre 50.000 (su più segmenti di rete)
Possibilità di aggiornamento modulare (hardware o software)
Altro Sistema operativo di uso comune
Categoria di prezzo Alto
#### Vantaggi Tra i vantaggi dei firewall di tipo server sono inclusi: - Prestazioni elevate Quando vengono eseguiti su un server di dimensione adeguata, questi firewall sono in grado di offrire livelli di prestazioni elevati. - Integrazione e consolidamento di servizi I firewall di tipo server possono utilizzare funzionalità del sistema operativo su cui sono in esecuzione. Ad esempio, un software firewall in esecuzione nel sistema operativo Microsoft Windows Server™ 2003 può avvalersi della funzionalità Bilanciamento carico di rete incorporata nel sistema operativo. Inoltre, il firewall può fungere anche da server VPN, utilizzando di nuovo funzionalità di Windows Server 2003. - Disponibilità, capacità di recupero e scalabilità Poiché questo firewall viene eseguito su hardware per PC standard, garantisce la disponibilità, la capacità di recupero e la scalabilità della piattaforma PC su cui viene eseguito. #### Svantaggi Tra gli svantaggi dei firewall di tipo server sono inclusi: - Necessità di hardware di fascia alta Per garantire prestazioni elevate, la maggior parte dei firewall di tipo server richiede hardware di fascia alta in termini di CPU, memoria e interfacce di rete. - Esposizione alle vulnerabilità Poiché i prodotti firewall di tipo server vengono eseguiti su sistemi operativi molto noti, sono esposti alle vulnerabilità presenti nel sistema operativo e nelle altre applicazioni software in esecuzione sul server. Sebbene ciò accada anche per i firewall hardware, questi ultimi hanno il vantaggio di avere sistemi operativi generalmente meno noti ai pirati informatici della maggior parte dei sistemi operativi server. #### Uso di firewall interni Un firewall interno controlla l'accesso in entrata e in uscita dalla rete interna. I tipi di utente possono includere: - Utenti attendibili Dipendenti dell'organizzazione, che possono essere utenti interni che accedono all'area perimetrale o a Internet, utenti esterni come gli impiegati di succursali, utenti remoti o utenti che lavorano da casa. - Semi-attendibili Partner aziendali dell'organizzazione, per i quali è previsto un livello di trust più alto di quello degli utenti non attendibili ma in genere più basso di quello dei dipendenti dell'organizzazione. - Non attendibili Ad esempio, utenti del sito Web pubblico dell'organizzazione. Gli utenti non attendibili appartenenti all'area Internet dovrebbero, in teoria, accedere solo ai server Web dell'area perimetrale. Nel caso abbiano bisogno di accedere ai server interni, per controllare, ad esempio, il livello di disponibilità in magazzino, è il server Web attendibile ad eseguire la ricerca per conto loro, in modo che gli utenti non attendibili non siano mai autorizzati a passare attraverso il firewall interno. Quando si sceglie una classe firewall da utilizzare in strutture come quelle descritte occorre valutare diversi fattori. Nella tabella che segue sono evidenziati tali fattori. **Tabella 6. Fattori che determinano la scelta di una classe di firewall interni**
Fattore da valutare Caratteristiche tipiche del firewall implementato
Funzionalità firewall richieste, secondo quanto specificato dall'amministratore della protezione Occorre trovare un giusto compromesso tra il grado di protezione richiesto e il costo di un incremento della protezione in termini economici e di riduzione delle prestazioni. Sebbene molte organizzazioni desiderino ottenere la massima protezione da un firewall utilizzato in strutture come quelle indicate, ne esistono alcune che non sono disposte ad accettare la conseguente riduzione delle prestazioni. Per siti Web non di e-commerce dai volumi molto elevati, ad esempio, è possibile consentire livelli di protezione più bassi a vantaggio di livelli di velocità effettiva più alti, ottenuti utilizzando i filtri di pacchetti statici invece del filtraggio a livello di applicazione.
Valutazione della tipologia di firewall, che potrà essere un dispositivo fisico dedicato o un firewall logico su un dispositivo fisico oppure potrà offrire anche altre funzionalità La scelta circa la tipologia di firewall da adottare dipende dalle prestazioni richieste, dal livello di criticità e riservatezza dei dati e dalla frequenza dell'accesso dall'area perimetrale.
Requisiti di gestibilità del dispositivo, secondo quanto specificato nell'architettura di gestione dell'organizzazione È utilizzato in genere un metodo di registrazione e richiesto un meccanismo di monitoraggio degli eventi. È possibile scegliere di non consentire l'amministrazione remota per impedire a utenti malintenzionati di amministrare il dispositivo in remoto.
Requisiti di velocità effettiva, probabilmente definiti dagli amministratori di rete e dei servizi dell'organizzazione Questi requisiti variano da ambiente ad ambiente, ma la potenza dell'hardware del dispositivo o del server e le funzionalità firewall in uso determineranno la velocità effettiva globale della rete disponibile.
Requisiti di disponibilità Dipendono ancora una volta dai requisiti di accesso dai server Web. Se la disponibilità serve principalmente a gestire le richieste di informazioni che vengono soddisfatte fornendo pagine Web, il flusso verso le reti interne sarà basso. Tuttavia, per i siti di e-commerce saranno necessari livelli di disponibilità elevati.
#### Regole per i firewall interni I firewall interni monitorano il traffico tra le aree di trust perimetrale e interna. I requisiti tecnici dei firewall interni sono considerevolmente più complessi di quelli dei firewall perimetrali a causa della complessità dei tipi di traffico e dei flussi tra queste reti. In questa sezione si fa riferimento ai sistemi "bastion host". I bastion host sono server situati nella rete perimetrale che forniscono servizi agli utenti interni ed esterni. Sono bastion host, ad esempio, i server Web e VPN. In genere per il firewall interno devono essere implementate le seguenti regole, per impostazione predefinita o con operazioni di configurazione: - Bloccare tutti i pacchetti per impostazione predefinita. - Nell'interfaccia perimetrale, bloccare i pacchetti in ingresso che sembrano provenire da un indirizzo IP interno, per impedire lo spoofing. - Nell'interfaccia interna, bloccare i pacchetti in uscita che sembrano provenire da un indirizzo IP esterno, per ridurre gli attacchi interni. - Consentire le query e le risposte UDP dai server DNS interni al bastion host resolver DNS. - Consentire le query e le risposte UDP dal bastion host resolver DNS ai server DNS interni. - Consentire le query TCP dai server DNS interni al bastion host resolver DNS, incluse le risposte alle query. - Consentire le query TCP dal bastion host resolver DNS ai server DNS interni, incluse le risposte alle query. - Consentire i trasferimenti di zona tra il bastion host advertiser DNS e i server DNS interni. - Consentire la posta in uscita dal server di posta SMTP interno al bastion host SMTP in uscita. - Consentire la posta in ingresso dal bastion host SMTP in ingresso al server di posta SMTP interno. - Consentire al traffico che ha origine dal backend sui server VPN di raggiungere gli host interni e alle risposte di tornare ai server VPN. - Consentire al traffico di autenticazione di raggiungere i server RADIUS nella rete interna e alle risposte di tornare ai server VPN. - Tutti gli accessi Web in uscita dei client interni passano attraverso un server proxy e le risposte vengono restituite ai client. - Consentire il traffico di autenticazione di dominio Microsoft Windows 2000/2003 tra i segmenti di rete per il dominio perimetrale e quello interno. - Supportare almeno cinque segmenti di rete. - Eseguire la Stateful Inspection dei pacchetti tra tutti i segmenti di rete uniti da essi (firewall a livello di circuito - livello 3 e 4). - Supportare le funzionalità di elevata disponibilità come il failover in modalità stato. - Indirizzare il traffico tra tutti i segmenti di rete connessi senza utilizzare la conversione degli indirizzi di rete (NAT). [](#mainsection)[Inizio pagina](#mainsection) ### Requisiti hardware I requisiti hardware di un firewall sono diversi a seconda che il firewall sia di tipo software o di tipo hardware, come indicato di seguito: - Firewall basati sull'hardware Questi dispositivi eseguono in genere codice specifico su una piattaforma hardware personalizzata. Questi firewall vengono di norma scalati (e viene loro assegnato un prezzo) in base al numero di connessioni che sono in grado di gestire e alla complessità del software da eseguire. - Firewall basati sul software Si tratta sempre di dispositivi configurati in base al numero di connessioni simultanee e alla complessità del software firewall. Esistono sistemi in grado di calcolare la velocità del processore, la dimensione della memoria e lo spazio su disco necessari per un server in base al numero di connessioni supportate. Bisogna tener conto delle altre applicazioni software che potrebbero essere in esecuzione sul server firewall, come quelle per il bilanciamento del carico e VPN. Occorre valutare, inoltre, i metodi per garantire la scalabilità verticale e orizzontale del firewall. Questi metodi includono l'aumento della potenza del sistema mediante l'aggiunta di ulteriori processori, memoria e schede di rete e anche l'utilizzo di più sistemi e del bilanciamento del carico per distribuire l'attività del firewall su di essi. Alcuni prodotti si avvalgono di sistemi con più processori simmetrici (SMP) per aumentare le prestazioni. Il servizio Bilanciamento carico di rete di Windows Server 2003 può garantire tolleranza d'errore, elevata disponibilità, efficienza e miglioramento delle prestazioni per alcuni prodotti firewall di tipo software. [](#mainsection)[Inizio pagina](#mainsection) ### Disponibilità Per aumentare la disponibilità del firewall, è possibile implementarlo come singolo dispositivo firewall con o senza componenti ridondanti o come coppia ridondante di firewall che incorpora un meccanismo di failover e/o bilanciamento del carico. I vantaggi e gli svantaggi di tali opzioni sono riportati nelle sottosezioni che seguono. #### Firewall singolo senza componenti ridondanti Nella figura seguente è illustrato un firewall singolo senza componenti ridondanti: ![](/security-updates/images/Cc700827.SGFG15504_1(it-it,TechNet.10).gif "Firewall singolo senza componenti ridondanti") Figura 2 *Firewall singolo senza componenti ridondanti* ##### Vantaggi Tra i vantaggi di un firewall singolo sono inclusi: - Economicità Poiché è presente un solo firewall, i costi dell'hardware e delle licenze sono contenuti. - Semplicità di gestione La gestione è semplificata poiché nel sito o nella rete aziendale è presente un solo firewall. - Origine di registrazione singola Tutta la registrazione del traffico è centralizzata in un unico dispositivo. ##### Svantaggi Tra gli svantaggi di un firewall singolo senza ridondanza sono inclusi: - Singolo punto di errore Esiste un singolo punto di errore per l'accesso in ingresso e/o in uscita. - Possibile collo di bottiglia del traffico La presenza di un unico firewall potrebbe costituire un collo di bottiglia del traffico in relazione al numero di connessioni e alla velocità effettiva richiesta. #### Firewall singolo con componenti ridondanti Nella figura seguente è illustrato un firewall singolo con componenti ridondanti: ![](/security-updates/images/Cc700827.SGFG15504_2(it-it,TechNet.10).gif "Firewall singolo senza componenti ridondanti") Figura 3 *Firewall singolo con componenti ridondanti* ##### Vantaggi Tra i vantaggi di un firewall singolo sono inclusi: - Economicità Poiché è presente un solo firewall, i costi dell'hardware e delle licenze sono contenuti. Il costo dei componenti ridondanti, come l'alimentatore, non è alto. - Semplicità di gestione La gestione è semplificata poiché nel sito o nella rete aziendale è presente un solo firewall. - Origine di registrazione singola Tutta la registrazione del traffico è centralizzata in un unico dispositivo. ##### Svantaggi Tra gli svantaggi di un firewall singolo sono inclusi: - Singolo punto di errore A seconda del numero di componenti ridondanti, potrebbe continuare a essere presente un singolo punto di errore per l'accesso in ingresso e/o in uscita. - Costo Il costo è più elevato di quello di un firewall senza ridondanza, inoltre, potrebbe essere necessaria una classe di firewall più alta per poter incorporare la ridondanza. - Possibile collo di bottiglia del traffico La presenza di un unico firewall potrebbe costituire un collo di bottiglia del traffico in relazione al numero di connessioni e alla velocità effettiva richiesta. #### Firewall con tolleranza d'errore Un set di firewall con tolleranza d'errore include un meccanismo per duplicare ognuno dei firewall, come nella figura seguente. ![](/security-updates/images/Cc700827.SGFG15505(it-it,TechNet.10).gif "Firewall con tolleranza d'errore") Figura 4 *Firewall con tolleranza d'errore* ##### Vantaggi Tra i vantaggi di un set di firewall con tolleranza d'errore sono inclusi: - Tolleranza d'errore L'uso di coppie di server o dispostivi consente di garantire il livello richiesto di tolleranza d'errore. - Registrazione centralizzata del traffico La registrazione del traffico è più affidabile, poiché uno o entrambi i firewall possono registrare l'attività del sistema nel dispositivo partner o in un server separato. - Possibilità di condivisione dello stato A seconda del prodotto, i firewall del set potrebbero essere in grado di condividere lo stato delle sessioni. ##### Svantaggi Tra gli svantaggi di un set di firewall con tolleranza d'errore sono inclusi: - Aumento della complessità L'impostazione e il supporto di questo tipo di soluzione sono più complessi a causa della natura a percorsi multipli del traffico di rete. - Complessità di configurazione Le serie separate di regole firewall, se non correttamente configurate, possono provocare problemi di protezione e supporto. - Aumento dei costi Poiché sono necessari almeno due firewall, il costo della soluzione è più alto di quello di un singolo firewall. #### Configurazioni dei firewall con tolleranza d'errore Quando si implementa un set di firewall con tolleranza d'errore (definito spesso cluster), esistono due tipologie di configurazione principali, descritte nelle sezioni che seguono. ##### Set di firewall con tolleranza d'errore di tipo attivo/passivo In un set di firewall con tolleranza d'errore di tipo attivo/passivo, un dispositivo, definito anche "nodo attivo", gestisce tutto il traffico, mentre l'altro, il nodo passivo, non inoltra traffico né esegue attività di filtro ma si limita a monitorare lo stato del nodo attivo. In genere, ogni nodo comunica la sua disponibilità e/o lo stato della sua connessione al nodo partner. Questa comunicazione viene definita "heartbeat"; ogni sistema invia segnalazioni più volte al secondo per assicurare che il nodo partner stia gestendo le connessioni. Se il nodo passivo non riceve alcun heartbeat dal nodo attivo per un periodo di tempo più lungo di uno specifico intervallo definito dall'utente, assume il ruolo attivo perché il nodo attivo si trova in una condizione di errore. Nella figura seguente è illustrato un set di firewall con tolleranza d'errore di tipo attivo/passivo. ![](/security-updates/images/Cc700827.SGFG15506(it-it,TechNet.10).gif "Set di firewall con tolleranza d'errore di tipo attivo/passivo") Figura 5 *Set di firewall con tolleranza d'errore di tipo attivo/passivo* ##### Vantaggi Tra i vantaggi di un set di firewall con tolleranza d'errore di tipo attivo/passivo sono inclusi: - Configurazione semplice Questa configurazione è più semplice e consente procedure di risoluzione dei problemi più immediate dell'opzione successiva, la configurazione attivo/attivo, poiché è attivo un singolo percorso di rete alla volta. - Prevedibilità del carico di failover Poiché l'intero carico di traffico passa al nodo passivo in caso di failover, il traffico che il nodo passivo deve gestire è facilmente pianificabile. ##### Svantaggi Tra gli svantaggi di un set di firewall con tolleranza d'errore di tipo attivo/passivo sono inclusi: - Inefficienza Il set di firewall con tolleranza d'errore di tipo attivo/passivo è inefficiente, poiché il nodo passivo non offre alcuna funzione utile alla rete durante il normale funzionamento e non contribuisce ad aumentare la velocità effettiva. #### Set di firewall con tolleranza d'errore di tipo attivo/attivo In un set di firewall con tolleranza d'errore di tipo attivo/attivo, due o più nodi sono in attesa di tutte le richieste inviate a un indirizzo IP virtuale condiviso da ogni nodo. Il carico viene distribuito tra i nodi tramite algoritmi esclusivi del meccanismo di tolleranza d'errore in uso o tramite configurazione statica su base utente. Qualsiasi sia il metodo, il risultato è che ciascun nodo filtra traffico diverso. Nel caso in cui si verifichi un errore in un nodo, gli altri nodi si distribuiranno l'elaborazione del carico assegnato al nodo non funzionante. Nella figura seguente è illustrato un set di firewall con tolleranza d'errore di tipo attivo/attivo. ![](/security-updates/images/Cc700827.SGFG15507(it-it,TechNet.10).gif "Set di firewall con tolleranza d'errore di tipo attivo/attivo") Figura 6 *Set di firewall con tolleranza d'errore di tipo attivo/attivo* ##### Vantaggi Tra i vantaggi di un set di firewall con tolleranza d'errore di tipo attivo/attivo sono inclusi: - Maggiore efficienza Poiché tutti i firewall forniscono un servizio alla rete, il loro utilizzo è più efficiente. - Maggiore velocità effettiva In situazioni di normale funzionamento, questa configurazione può gestire livelli più elevati di traffico di quelli gestibili dalla configurazione di tipo attivo/passivo, poiché tutti i firewall sono in grado di fornire simultaneamente un servizio alla rete. ##### Svantaggi Tra gli svantaggi di un set di firewall con tolleranza d'errore di tipo attivo/attivo sono inclusi: - Potenziale sovraccarico Se si verifica un errore in un nodo, le risorse hardware degli altri nodi potrebbero non essere sufficienti a gestire la velocità effettiva totale richiesta. È importante tenere presente questo fattore nella consapevolezza che è probabile che si verifichi una riduzione delle prestazioni poiché, in caso di errore in un nodo, i nodi funzionanti devono assumersi un carico di lavoro aggiuntivo. - Aumento della complessità Poiché il traffico di rete può passare attraverso più route, la risoluzione dei problemi diventa più complessa. [](#mainsection)[Inizio pagina](#mainsection) ### Protezione La sicurezza dei prodotti firewall è di fondamentale importanza. Sebbene non esistano standard per la sicurezza dei firewall, l'ICSA (International Computer Security Association), associazione indipendente, esegue un programma di certificazione mirato a verificare la sicurezza dei prodotti firewall in commercio. L'ICSA esegue verifiche su un numero significativo di prodotti firewall attualmente in commercio. Per ulteriori informazioni, visitare il sito Web all'indirizzo: [www.icsalabs.com](http://www.icsalabs.com/) (in inglese) È importante che un firewall risponda agli standard di sicurezza richiesti e, per essere certi che tale condizione sia soddisfatta, basta scegliere un prodotto che abbia ottenuto la certificazione ICSA. Inoltre, è consigliabile verificare se per il firewall scelto esistano segnalazioni tecniche. In Internet sono disponibili diversi database di vulnerabilità della protezione che possono essere consultati per ottenere informazioni relative alle vulnerabilità del prodotto che si intende acquistare. Purtroppo tutti i prodotti, siano essi basati sull'hardware o sul software, presentano degli errori, comunemente noti come "bug". Oltre a determinare il numero e la gravità dei bug che hanno interessato il prodotto scelto, è importante valutare la capacità e la velocità di risposta del fornitore alle vulnerabilità esposte. [](#mainsection)[Inizio pagina](#mainsection) ### Scalabilità In questa sezione sono indicati i requisiti di scalabilità di una soluzione firewall. La scalabilità dei firewall è in genere determinata dalle caratteristiche di prestazione del dispositivo in uso. È buona norma scegliere un tipo di firewall che si possa adeguare agli scenari di utilizzo reali. Esistono due metodi di base per ottenere la scalabilità: - Scalabilità verticale (verso l'alto) In dipendenza del fatto che il firewall sia un dispositivo hardware o una soluzione software in esecuzione su un server, è possibile ottenere diversi livelli di scalabilità aumentando la quantità di memoria, la potenza di elaborazione della CPU e la velocità effettiva delle interfacce di rete. Tuttavia, ogni dispositivo o server ha una serie finita di opzioni di scalabilità verticale. Ad esempio, se si acquista un server che includa socket per quattro CPU e si inizia a utilizzarne solo due, sarà sempre possibile aggiungerne altre due. - Scalabilità orizzontale (verso l'esterno) Una volta esaurite le possibilità di scalabilità verticale di un server, diventa importante la scalabilità orizzontale. La maggior parte dei firewall (hardware e software) prevede la possibilità di scalabilità orizzontale mediante l'uso di qualche forma di bilanciamento del carico. In uno scenario del genere, più server vengono organizzati in un cluster e considerati come un unico sistema dai client in rete. Si tratta di una situazione simile a quella del cluster di tipo attivo/attivo descritto nella sezione "[Disponibilità](#xsltsection136121120120)" del presente modulo. La tecnologia utilizzata per garantire tale funzionalità può coincidere o meno con quella descritta in precedenza a seconda del fornitore. Garantire la scalabilità verticale dei firewall hardware può essere difficile. Tuttavia, alcuni produttori di firewall hardware offrono soluzioni di scalabilità orizzontale grazie alle quali i loro prodotti possono essere disposti in pila per funzionare come una sola unità con bilanciamento del carico. Alcuni firewall di tipo software sono progettati per assicurare la scalabilità verticale attraverso l'uso di più processori. I diversi processori sono controllati dal sistema operativo sottostante e il software firewall non deve necessariamente rilevare la presenza di processori aggiuntivi; tuttavia questo tipo di soluzione offre vantaggi ottimali solo se il software firewall è in grado di operare in modalità multitasking. Questo approccio consente di scalare dispositivi singoli o ridondanti, diversamente dai firewall basati sull'hardware o di tipo dispositivo, che devono in genere rispettare determinate limitazioni dell'hardware fissate in fase di produzione. La maggior parte dei firewall di tipo dispositivo è classificata in base al numero di connessioni simultanee gestibili. I dispositivi hardware devono spesso essere sostituiti, se i requisiti di connessione superano la disponibilità prevista per il modello di dispositivo a scala fissa. Come si è già rilevato in precedenza, la tolleranza d'errore potrebbe essere incorporata nel sistema operativo di un server firewall. Nel caso di un firewall hardware, la tolleranza d'errore rappresenta probabilmente un costo aggiuntivo. [](#mainsection)[Inizio pagina](#mainsection) ### Consolidamento Eseguire un consolidamento significa incorporare il servizio firewall in un altro dispositivo o incorporare altri servizi nel firewall. Tra i vantaggi del consolidamento sono inclusi: - Prezzo di acquisto più contenuto Incorporando il servizio firewall in un altro servizio, ad esempio in un router, si risparmia il costo di un dispositivo hardware, sebbene il software firewall debba comunque essere acquistato. Allo stesso modo, se è possibile incorporare altri servizi nel firewall, si evita di acquistare hardware aggiuntivo. - Riduzione dei costi di gestione e di inventario La riduzione del numero di dispositivi hardware consente di abbassare i costi di gestione Poiché sono richiesti meno aggiornamenti hardware, il cablaggio e la gestione del sistema risultano semplificati. - Maggiori prestazioni In base al tipo di consolidamento è possibile migliorare le prestazioni. Ad esempio, incorporando la funzionalità di caching del server Web nel firewall è possibile evitare di utilizzare altri dispositivi e i servizi comunicheranno tra loro a velocità elevata invece che attraverso un cavo Ethernet. Tra gli esempi di consolidamento sono inclusi: - Aggiunta di servizi firewall a un router La maggior parte dei router può prevedere un servizio firewall incorporato. Le funzionalità di tale servizio possono essere molto semplici nei router economici ed estremamente avanzate ed efficienti nei router di fascia alta. Nella rete interna è probabile che sia presente almeno un router di collegamento dei segmenti Ethernet. Se si incorpora il firewall nel router si riducono i costi. Anche se si utilizzano specifici dispositivi firewall, l'implementazione nei router di alcune funzionalità firewall può consentire di limitare le intrusioni interne. - Aggiunta di servizi firewall allo switch interno A seconda dello switch interno utilizzato, è possibile aggiungere il firewall interno come blade, riducendo i costi e aumentando le prestazioni. Quando si ipotizza di consolidare altri servizi nello stesso server o dispositivo che eroga il servizio firewall, è necessario verificare che l'uso di un determinato servizio non comprometta disponibilità, sicurezza e gestibilità del firewall. Non vanno trascurate, inoltre, considerazioni relative alle prestazioni, poiché il carico generato da servizi aggiuntivi compromette le prestazioni del servizio firewall. In alternativa al consolidamento di servizi nello stesso dispositivo o server che ospita il servizio firewall è possibile consolidare un dispositivo hardware firewall come blade in uno switch. Questa procedura è in genere meno costosa di qualsiasi tipo di firewall autonomo e consente di sfruttare le caratteristiche di disponibilità dello switch, come, ad esempio, il doppio alimentatore. Una tale configurazione è anche più semplice da gestire, poiché non implica l'uso di un dispositivo separato. Inoltre, la possibilità di utilizzare il bus dello switch invece di cavi esterni rende la soluzione più veloce. [](#mainsection)[Inizio pagina](#mainsection) ### Standard e linee guida La maggior parte dei protocolli Internet che utilizzano la versione 4 del protocollo Internet (IPv4) può essere protetta da un firewall. Questa affermazione è valida sia per i protocolli di basso livello come TCP e UDP sia per quelli di livello più alto come HTTP, SMTP e FTP. Occorre verificare che tutti i prodotti firewall in esame supportino il tipo di traffico richiesto. Alcuni firewall sono anche in grado di interpretare il traffico GRE (Generic Routing Encapsulation), protocollo di incapsulamento per il protocollo PPTP (Point-to-Point Tunneling Protocol) utilizzato in alcune implementazioni VPN. Alcuni firewall prevedono filtri a livello di applicazione incorporati per protocolli quali HTTP, SSL, DNS, FTP, SOCKS v4, RPC, SMTP, H. 323 e POP (Post Office Protocol). È inoltre opportuno considerare le evoluzioni future del protocollo TCP/IP e valutare IPv6, per verificare se quest'ultimo sia un requisito indispensabile per qualsiasi firewall, anche se è in uso IPv4. [](#mainsection)[Inizio pagina](#mainsection) ### Riepilogo In questo modulo sono stati indicati dei criteri per scegliere i prodotti firewall più appropriati tenendo presenti tutti gli aspetti della progettazione firewall, inclusi i diversi processi di valutazione e classificazione necessari per ottenere una soluzione. Nessun firewall è assolutamente sicuro. L'unico modo per garantire che la rete non possa essere attaccata elettronicamente dall'esterno è separarla da tutti gli altri sistemi e reti. Il risultato sarebbe una rete sicura praticamente inutilizzabile. I firewall consentono di implementare un livello di protezione adeguato per la connessione della rete a una rete esterna o l'unione di due reti interne. Le strategie firewall e i processi di progettazione descritti in questo modulo devono essere considerati parte di una strategia di protezione globale. Anche il firewall più potente ha un valore limitato se esistono punti deboli in altre sezioni della rete. La sicurezza è un requisito indispensabile per ogni componente della rete e per ogni componente devono essere definiti criteri di protezione che consentano di ridurre i rischi inerenti all'ambiente. [](#mainsection)[Inizio pagina](#mainsection) ### Riferimenti Per ulteriori informazioni sulla progettazione e l'implementazione di servizi firewall, visitare i siti Web ai seguenti indirizzi: Per informazioni dettagliate sulla protezione in Windows Server 2003, fare riferimento al modulo "Windows Server 2003 Security Center" disponibile all'indirizzo: