Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questa pagina
Argomenti del modulo Obiettivi Ambito di applicazione Utilizzo del modulo Linee guida per la configurazione Attacchi al sistema e difesa Definizione del dispositivo Funzionalità firewall Classi di firewall Classe 1: firewall personale Classe 2: router con funzionalità firewall Classe 3: firewall hardware di fascia bassa Classe 4: firewall hardware di fascia alta Classe 5: firewall server di fascia alta Uso di firewall perimetrali Regole per i firewall perimetrali Requisiti hardware Disponibilità del firewall Protezione Scalabilità Prestazioni Consolidamento Standard e linee guida Riepilogo Riferimenti
Argomenti del modulo
Questo modulo consente di selezionare un prodotto firewall adatto alla rete perimetrale di una specifica organizzazione. In esso sono presentate le diverse classi di firewall disponibili ed evidenziate le funzionalità più significative. Sono inoltre fornite indicazioni per l'identificazione dei requisiti specifici dell'ambiente e per la scelta del prodotto più appropriato.
Obiettivi
Il modulo consente di:
Individuare le funzionalità necessarie nel firewall perimetrale.
Classificare i prodotti firewall.
Selezionare il prodotto più adatto quale firewall perimetrale.
Ambito di applicazione
Questo modulo si applica alle seguenti tecnologie:
- Prodotti firewall basati su Ethernet/IP
Utilizzo del modulo
La conoscenza del protocollo TCP/IP, dell'architettura di rete in uso e dei dispositivi presenti nella rete perimetrale è una condizione indispensabile per comprendere e utilizzare le informazioni contenute nel modulo. Può inoltre risultare utile stabilire quale tipo di traffico in ingresso da Internet può essere considerato valido.
Le linee guida di progettazione presentate nel modulo consentiranno di selezionare le funzionalità che il firewall deve garantire tenendo in considerazione fattori determinanti come crescita e costi. Nel modulo verranno inoltre fornite informazioni su alcune tra le intrusioni più pericolose allo scopo di poter identificare quelle che potrebbero verificarsi nell'ambiente in esame e in che modo impedirle. Oltre a installare il firewall può essere opportuno, ad esempio, configurare il server in maniera più restrittiva o consultare il provider di servizi Internet (ISP). Nel modulo sono inoltre definite differenti classi di firewall e avvalendosi delle linee guida di progettazione sarà possibile scegliere quale tra queste sia la più adeguata alle proprie esigenze. Le informazioni contenute nel modulo e la terminologia tecnica utilizzata consentiranno di discutere con i produttori di firewall dei prodotti offerti e di valutare quale sia la soluzione più adatta alle diverse esigenze.
Linee guida per la configurazione
Le intrusioni nelle reti da parte di utenti interni ed esterni alle stesse sono ormai sempre più frequenti e rendono indispensabile l'installazione di una protezione contro tali eventi. Sebbene i firewall proteggano la rete, comportano anche dei costi in termini economici e creano ostacoli al flusso del traffico. È necessario quindi assicurarsi che il firewall in uso garantisca il miglior rapporto qualità-prezzo e la massima efficienza possibile.
Architettura di rete
In un'architettura di rete aziendale sono in genere presenti tre aree:
Rete di confine Si tratta della rete direttamente connessa a Internet tramite un router che fornisce un livello iniziale di protezione mediante il filtraggio di base del traffico di rete. Il router trasmette i dati alla rete perimetrale tramite un firewall perimetrale.
Rete perimetrale Si tratta di una rete marginale, definita spesso DMZ (Demilitarized Zone), che collega gli utenti in ingresso ai server Web o ad altri servizi. I server Web, a loro volta, sono collegate alle reti interne tramite un firewall interno.
Reti interne Si tratta di reti interne che collegano i server interni, come i sistemi SQL Server e gli utenti interni.
Queste reti sono illustrate nella figura 1.
.gif "Architettura della rete aziendale")
Figura 1 Architettura della rete aziendale
Elementi propedeutici alla configurazione
Un firewall controlla i pacchetti IP in ingresso e blocca quelli che considera attacchi intrusivi. Alcune operazioni di blocco possono essere eseguite riconoscendo, per impostazione predefinita, che determinati pacchetti non sono validi oppure configurando il firewall affinché blocchi tali pacchetti. Il protocollo TCP/IP è stato progettato quando non esisteva la necessità di prendere in considerazione eventuali attacchi o intrusioni e ha, quindi, molti punti deboli. Ad esempio, il protocollo ICMP è stato progettato come un meccanismo di segnalazione interno a TCP/IP ma è soggetto alle azioni di utenti malintenzionati e ad attacchi di tipo DoS (Denial of Service). Un firewall perimetrale presenta in genere una capacità molto più limitata rispetto a un firewall interno poiché il traffico in ingresso è diretto unicamente al server Web o ad altri servizi specifici.
Sono disponibili diversi tipi di firewall, che si differenziano per prezzi, per funzionalità offerte e prestazioni. In genere, i firewall più costosi sono quelli che offrono il maggior numero di funzionalità e il grado più elevato di efficacia. In una parte successiva di questo modulo i firewall sono raggruppati in classi al fine di poterli distinguere, ma prima di sceglierne uno è necessario stabilire quali siano i requisiti che deve soddisfare, tenendo in considerazione i seguenti fattori:
Budget
Infrastrutture esistenti
Disponibilità
Scalabilità
Funzionalità richieste
Budget
Qual è il budget disponibile? Ogni firewall dell'ambiente deve garantire il più alto livello di servizio senza gravare eccessivamente sui costi. Tuttavia, occorre essere consapevoli che un firewall di fascia molto economica può causare seri problemi all'azienda. È consigliabile considerare anche a quale danno economico andrebbe incontro l'organizzazione a causa di un periodo di inattività provocato dalla sospensione del servizio conseguente a un attacco di tipo Denial of Service.
Infrastrutture esistenti
Sono presenti infrastrutture utilizzabili per ridurre i costi? Nell'ambiente potrebbero essere già presenti firewall riutilizzabili e router provvisti di una serie di funzionalità firewall. Il provider di servizi Internet spesso è in grado di implementare restrizioni firewall al collegamento in uso quali la limitazione della velocità, ovvero limitando la velocità di invio di determinati pacchetti per ridurre la possibilità che si verifichino attacchi di tipo DDoS (Distributed Denial of Service), durante i quali la rete viene attaccata contemporaneamente da numerosi computer. Chiedere all'ISP se tra i servizi disponibili è inclusa una funzione di filtro conforme alle specifiche indicate nei documenti RFC 1918 e 2827.
Disponibilità
È necessario che il firewall sia sempre disponibile? Nel caso di servizi server Web pubblici con utenti che richiedono una disponibilità costante, i periodi di inattività devono essere ridotti a zero. Tuttavia, poiché tutti i firewall sono soggetti a errori, occorre premunirsi per ridurre al minimo i rischi. La disponibilità di un firewall può essere migliorata in due modi:
Componenti ridondanti La duplicazione dei componenti più facilmente soggetti a malfunzionamenti, come l'alimentatore, migliora la capacità di recupero del firewall, poiché quando il primo componente viene meno può subentrare il secondo senza alcun effetto sul funzionamento del dispositivo. I firewall di fascia economica in genere non includono opzioni ridondanti e l'aggiunta di funzionalità di recupero comporta un aumento dei costi senza incrementare la potenza di elaborazione.
Duplicazione di dispositivi La duplicazione del dispositivo firewall consente di creare un sistema con capacità di recupero totale. Ma questo ha un costo considerevole, poiché richiede che siano duplicati tutti i cavi di rete e la connettività nei router o negli switch a cui è collegato il firewall. Tuttavia, a seconda del firewall in uso, tale operazione è in grado anche di raddoppiare la velocità effettiva disponibile. In teoria tutti i firewall, dai più piccoli ai più grandi, possono essere duplicati, ma in pratica è necessario che sia presente anche un meccanismo di commutazione software che potrebbe non essere disponibile nei firewall più piccoli.
Scalabilità
Qual è il requisito di velocità effettiva del firewall? La velocità effettiva può essere valutata in termini di bit al secondo e di pacchetti trasferiti al secondo. Se si tratta di una nuova iniziativa imprenditoriale non è possibile conoscere quali siano i requisiti di velocità effettiva e se l'iniziativa ha successo tali requisiti potrebbero crescere rapidamente. Per far fronte a tali incognite, occorre scegliere una soluzione firewall che preveda l'opzione di scalabilità verticale quando la velocità effettiva aumenta, aggiungendo altri componenti al firewall o installando altri firewall in parallelo.
Funzionalità
Quali sono le funzionalità firewall richieste? Sulla base delle valutazioni dei rischi condotte a fronte dei servizi forniti nell'organizzazione, è possibile determinare quali funzionalità firewall sono necessarie per proteggere le risorse che garantiscono i servizi. Se sono necessarie reti private virtuali (VPN), questo inciderà sulla progettazione.
Attacchi al sistema e difesa
Questa sezione include un riepilogo di alcuni degli attacchi al sistema più noti e illustra i motivi per cui è consigliabile utilizzare un servizio firewall come prima linea difensiva.
Attacchi esterni
Internet è lo strumento ideale per coloro che desiderano causare danni alle organizzazioni o appropriarsi di segreti commerciali per imporsi sulla concorrenza. Se si installa un firewall perimetrale e si esamina il registro delle intrusioni, si resterà stupefatti dal volume di tali attacchi. La maggior parte delle intrusioni si limitano a verificare se il computer risponde e a individuare i servizi in esecuzione. Sebbene sembri trattarsi di operazioni innocue, consentono ai pirati informatici di accedere al computer e attaccare il servizio, una volta rilevati i punti deboli del sistema.
Attacchi interni
Oltre a implementare una protezione per far fronte agli attacchi basati su Internet, è necessario proteggere le informazioni riservate. La maggior parte delle organizzazioni gestisce informazioni riservate che devono essere protette da determinati utenti della rete interna, inclusi dipendenti, fornitori, consulenti e clienti. Mentre il firewall perimetrale è destinato principalmente a proteggere la rete dalle intrusioni esterne, è possibile che alcuni utenti interni esperti tentino di accedere tramite Internet.
Tipi di intrusioni
I tentativi di intrusione possono assumere diverse forme e descriverle tutte non servirebbe a molto poiché ne vengono ideate di nuove ogni giorno. Alcune intrusioni, come il ping di un indirizzo server, possono sembrare inoffensive, ma dopo aver rilevato la presenza di un server, il pirata informatico può tentare di sferrare un attacco più serio. In altre parole, tutte le intrusioni devono essere considerate potenzialmente pericolose. Di seguito sono riportate alcune delle intrusioni più comuni:
Sniffer di pacchetti Uno sniffer è un'applicazione software o un dispositivo hardware che si connette alla LAN e acquisisce informazioni dai frame Ethernet. Lo scopo originale di questi sistemi era quello di analizzare e risolvere i problemi del traffico Ethernet o di eseguire ricerche approfondite nei frame per esaminare singoli pacchetti IP. Gli sniffer operano in modalità promiscua, ovvero, ascoltano ogni pacchetto sul cavo fisico. Molte applicazioni, come Telnet, inviano informazioni relative a nomi utente e password in forma di testo non crittografato, che può essere visualizzato da prodotti sniffer. Un pirata informatico può, quindi, con uno sniffer ottenere l'accesso a molte applicazioni.
I firewall non sono in grado di proteggere il sistema dallo sniffing, poiché uno sniffer non genera alcun traffico di rete. Esistono diverse misure per contrastare lo sniffing, tra cui la più importante consiste nell'utilizzare password con crittografia avanzata, ma questo argomento non rientra nell'ambito del presente modulo.
Spoofing IP Lo spoofing IP consiste nel modificare l'indirizzo di origine di un pacchetto IP per nascondere l'identità del mittente. Poiché l'operazione di routing in Internet utilizza solo l'indirizzo di destinazione per inviare il pacchetto e ignora l'indirizzo di origine, un hacker può inviare un pacchetto dannoso al sistema e mascherare l'indirizzo di origine in modo che non sia possibile sapere da dove proviene. Lo spoofing non è necessariamente dannoso ma segnala che è in corso un'intrusione. L'indirizzo potrebbe essere esterno alla rete, per nascondere l'identità dell'intruso, o corrispondere a uno degli indirizzi interni attendibili con privilegi di accesso. Lo spoofing viene in genere utilizzato per gli attacchi di tipo Denial of Service, che verranno descritti in seguito.
È possibile impedire lo spoofing IP implementando uno o entrambi i meccanismi descritti di seguito:
Controllo dell'accesso Negare l'accesso ai pacchetti in ingresso da Internet che presentano un indirizzo di origine della rete interna.
Filtro RFC 2827 È importante garantire che il traffico in uscita non sia sottoposto a spoofing IP. Poiché i pacchetti di spoofing devono avere una rete di origine, è essenziale impedire che la propria rete venga utilizzata come origine dello spoofing. Di conseguenza, occorre bloccare tutto il traffico in uscita dalla rete che non presenta un indirizzo di origine incluso tra quelli allocati. Il provider di servizi Internet può anche riuscire a respingere il traffico di spoofing dalla rete verificando se l'indirizzo di origine appartiene alla rete dell'azienda. Questa tecnica è indicata come filtro RFC 2827. Per ulteriori informazioni sul modo in cui applicarla, rivolgersi all'ISP. L'applicazione di un filtro al traffico in uscita non comporta vantaggi diretti, ma se la stessa tecnica viene applicata dalle altre reti potrebbe impedire la trasmissione di traffico di spoofing alla rete in uso. La maggior parte dei firewall di ultima generazione prevede la capacità di impedire lo spoofing IP in ingresso.
Attacchi Denial-of-Service Gli attacchi DoS (Denial of Service) sono tra i più difficili da prevenire. A differenza di altri tipi di attacchi, non provocano danni permanenti alla rete, bensì tentano di interrompere il funzionamento della rete bersagliando un particolare computer, che può essere un server o una periferica di rete, o riducendo la velocità effettiva dei collegamenti di rete fino a compromettere le prestazioni al punto tale da causare malcontento tra i clienti e conseguenti danni all'organizzazione. L'attacco DDoS (Distributed DoS) viene sferrato da numerosi computer che concentrano il bombardamento sul sistema. I computer che attaccano il sistema non sono in realtà gli autori dell'attacco. Hanno semplicemente subito a loro volta intrusioni da parte di pirati informatici che hanno sfruttato vulnerabilità esistenti a livello di protezione per dare origine all'invio di elevati volumi di dati alla rete in modo da bloccare il collegamento all'ISP o uno dei dispositivi.
Attacchi a livello di applicazione Gli attacchi a livello di applicazione sono spesso i più pubblicizzati e, sfruttano, in genere, punti deboli molto noti di applicazioni quali server Web e server di database. Il problema, in particolare per i server Web, risiede nel fatto che tali sistemi sono progettati per consentire l'accesso a utenti pubblici sconosciuti e non considerabili attendibili. La maggior parte degli attacchi sfrutta difetti noti del prodotto, quindi la miglior difesa consiste nell'installare gli ultimi aggiornamenti messi a disposizione dai produttori. In pochi giorni, a partire dal suo rilascio nel gennaio 2003, il pericolosissimo worm SQL (Structured Query Language) Slammer ha compromesso 35.000 sistemi, sfruttando una nota vulnerabilità di Microsoft® SQL Server 2000 per cui Microsoft aveva già messo a disposizione, quattro mesi prima, una correzione nell'agosto 2002. Tale effetto dirompente è stato possibile perché molti amministratori non avevano applicato l'aggiornamento consigliato e non disponevano di firewall adeguati, che avrebbero potuto bloccare i pacchetti destinati alla porta utilizzata dal worm. In situazioni del genere, tuttavia, un firewall non è altro che una barriera; i produttori consigliano di applicare aggiornamenti a tutti i prodotti, soprattutto per evitare attacchi a livello di applicazione.
Ricognizione di rete La ricognizione di rete è il processo di scansione delle reti mirato a individuare indirizzi IP validi, nomi DNS (Domain Name System) e porte IP prima di lanciare un attacco. La ricognizione di rete in se stessa non è dannosa, ma sapere quali sono gli indirizzi in uso consente di lanciare attacchi mirati a danneggiare il sistema. Se si esaminano i registri di un firewall, infatti, si noterà che la maggior parte delle intrusioni è di questo tipo. Le operazioni più comuni includono la scansione delle porte di attesa TCP (Transport Control Protocol) e UDP (User Datagram Protocol) nonché di altre porte di attesa molto note come quelle utilizzate da Microsoft SQL Server, NetBIOS (Network Basic Input/Output System), HTTP (Hypertext Transfer Protocol) e SMTP (Simple Mail Transport Protocol). Tali letture richiedono una risposta, grazie alla quale l'hacker viene a sapere che il server esiste ed esegue uno di questi servizi. Molte operazioni di scansione possono essere evitate utilizzando un router di confine o un firewall. Molti servizi sono presenti per impostazione predefinita e non sono richiesti, ma la disattivazione di alcuni di essi può compromettere le funzionalità diagnostiche della rete.
Virus/Cavalli di Troia I virus in genere non possono essere rilevati dai firewall in quanto sono spesso incorporati in allegati di posta elettronica. I virus di tipo tradizionale tendevano a danneggiare solo il dispositivo infettato, mentre quelli di ultima generazione tendono a duplicarsi e a danneggiare altri computer locali o a diffondersi in Internet mediante l'invio di numerosi messaggi di posta elettronica con il virus in allegato. Gran parte di questi virus installa un programma Trojan Horse nel dispositivo contaminato. Un programma Trojan Horse può non provocare alcun danno diretto, ma invia informazioni all'hacker tramite Internet dal dispositivo in cui è installato. In questo modo il pirata informatico può sferrare un attacco mirato a tale dispositivo poiché conosce il software in esecuzione e le relative vulnerabilità. Sebbene la prima misura difensiva contro i virus consista nel mantenere costantemente aggiornato il software antivirus presente sul dispositivo, il firewall perimetrale può contribuire a limitare l'efficacia del programma Trojan Horse.
Definizione del dispositivo
Un firewall è un meccanismo per il controllo del flusso del traffico IP tra due reti. I dispositivi firewall operano in genere a livello 3 del modello OSI, sebbene alcuni di essi possano operare anche a livelli più alti.
I firewall, in genere, offrono i seguenti vantaggi:
Difesa dei server interni dagli attacchi di rete.
Applicazione di criteri di accesso e utilizzo delle rete.
Monitoraggio del traffico e generazione di avvisi al rilevamento di operazioni sospette.
È importante notare che i firewall consentono di ridurre solo determinati rischi per la protezione. Non consentono, in genere, di evitare i danni che possono essere inflitti a un server sfruttando una vulnerabilità del software. I firewall devono essere implementati come parte integrante dell'architettura di protezione completa di un'organizzazione.
Funzionalità firewall
A seconda delle funzionalità supportate da un firewall, il traffico viene consentito o bloccato mediante un'ampia gamma di tecniche che garantiscono diversi gradi di protezione. Le seguenti funzionalità firewall sono elencate in ordine crescente di complessità:
Filtri di input della scheda di rete
Filtri di pacchetti statici
Conversione degli indirizzi di rete (NAT, Network Address Translation)
Stateful Inspection
Controllo a livello di circuito
Proxy
Filtraggio a livello di applicazione
In generale, i firewall che prevedono funzionalità complesse supportano anche funzionalità più semplici. Tuttavia, prima di scegliere un prodotto è opportuno leggere con attenzione le informazioni messe a disposizione dal fornitore, poiché possono esistere sottili differenze tra le funzionalità presunte e reali di un firewall. Per scegliere un firewall occorre esaminare le funzionalità offerte e verificare che il prodotto garantisca le prestazioni indicate nelle specifiche.
Filtri di input della scheda di rete
Il filtraggio dell'input della scheda di rete consente di esaminare gli indirizzi di origine e di destinazione e altre informazioni del pacchetto in ingresso per bloccarlo o lasciarlo passare. Il filtro viene applicato solo al traffico in ingresso e non è in grado di controllare il traffico in uscita. La sua azione consiste nel confrontare gli indirizzi IP e i numeri di porta UDP e TCP, nonché il protocollo del traffico, TCP, UDP e GRE (Generic Routing Encapsulation).
Nel caso di un firewall perimetrale che protegge un server Web, il traffico in ingresso autorizzato deve essere in grado di accedere solo all'indirizzo IP del server stesso e, in genere, a una serie limitata di numeri di porte, tra cui 80 per HTTP o 443 per HTTPS. Sebbene questa funzionalità di controllo sia presente nel firewall perimetrale, può anche essere implementata nel router di confine.
Il filtraggio dell'input della scheda di rete consente di negare, in modo rapido ed efficace, l'accesso ai pacchetti in ingresso standard che soddisfano i criteri configurati nel firewall. Tuttavia, questa azione di filtro può essere facilmente aggirata, poiché si limita a far corrispondere le intestazioni del traffico IP, partendo dal presupposto che il traffico da filtrare segua gli standard IP e non sia stato alterato per eludere il filtraggio.
Filtri di pacchetti statici
Si tratta di filtri simili a quelli dell'input della scheda di rete; si limitano, infatti, a confrontare le intestazioni IP per stabilire se consentire o meno il passaggio del traffico attraverso l'interfaccia. Tuttavia, i filtri di pacchetti statici consentono di controllare le comunicazioni in uscita e in ingresso verso un'interfaccia. Inoltre, aggiungono alla funzione di filtraggio della scheda di rete la possibilità di controllare se il bit ACK (Acknowledged) sia impostato nell'intestazione IP. Il bit ACK indica se il pacchetto è una nuova richiesta o una richiesta di ritorno di una richiesta originale. Non consente di verificare che il pacchetto sia stato originariamente inviato dall'interfaccia che lo riceve; la sua funzione consiste esclusivamente nel controllare, sulla base delle convenzioni delle intestazioni IP, se il traffico in arrivo nell'interfaccia sia di ritorno.
Questa tecnica è valida solo per il protocollo TCP e non per quello UDP. Come il filtraggio dell'input della scheda di rete, anche il filtraggio di pacchetti statici è molto veloce ma le sue funzionalità sono limitate e può essere eluso predisponendo opportunamente il traffico.
Analogamente al filtraggio dell'input della scheda di rete, il filtraggio dei pacchetti statici deve essere implementato nel router di confine oltre che nel firewall perimetrale.
Conversione degli indirizzi di rete
All'interno della gamma di indirizzi IP mondiale, alcune serie di indirizzi vengono definite indirizzi privati. Questi indirizzi sono destinati all'utilizzo all'interno dell'organizzazione e non hanno alcun significato in Internet. Il traffico destinato a uno qualsiasi di questi indirizzi IP non può essere instradato attraverso Internet, quindi assegnare un indirizzo privato alle periferiche interne significa garantire loro una forma di protezione dalle intrusioni. Tuttavia accade spesso che le periferiche interne debbano accedere a Internet. In questo caso interviene la tecnologia di conversione degli indirizzi di rete (NAT) a convertire l'indirizzo privato in un indirizzo Internet.
Sebbene NAT non sia propriamente una tecnologia firewall, l'occultamento del reale indirizzo IP di un server impedisce agli autori degli attacchi di acquisire informazioni importanti sul server.
Stateful Inspection
In modalità Stateful Inspection tutto il traffico in uscita viene registrato in una tabella di stato. Quando il traffico di connessione ritorna all'interfaccia, viene eseguito un controllo nella tabella di stato per verificare che il traffico sia stato effettivamente originato dall'interfaccia. La tecnologia Stateful Inspection è leggermente più lenta del filtraggio di pacchetti statici. Tuttavia, garantisce che il traffico sia autorizzato a passare solo se corrisponde alle richieste del traffico in uscita. La tabella di stato contiene elementi quali gli indirizzi IP di destinazione e di origine, la porta chiamata e l'host di origine.
Alcuni firewall memorizzano nella tabella di stato più informazioni di altri riportando, ad esempio, i frammenti IP inviati e ricevuti. Il firewall può verificare che il traffico venga elaborato al momento della restituzione di tutte le informazioni frammentate o solo di una parte di esse. L'implementazione della funzionalità di Stateful Inspection varia a seconda del firewall, quindi occorre leggere attentamente la documentazione del dispositivo.
La funzionalità di Stateful Inspection consente, in genere, di ridurre i rischi associati alla ricognizione della rete e allo spoofing IP.
Controllo a livello di circuito
Con il filtraggio a livello di circuito è possibile esaminare le sessioni invece delle connessioni o dei pacchetti. Le sessioni vengono stabilite solo in risposta a una richiesta utente e possono includere più connessioni. Il filtraggio a livello di circuito garantisce un supporto incorporato per protocolli con connessioni secondarie, quali, ad esempio il protocollo FTP e i protocolli di flussi multimediali. Questo tipo di filtro consente, in genere, di ridurre i rischi associati agli attacchi di ricognizione di rete, DoS e di spoofing IP.
Firewall di tipo proxy
I firewall di tipo proxy richiedono informazioni da parte di un client. A differenza delle tecnologie firewall esaminate in precedenza, la comunicazione non avviene direttamente tra il client e il server in cui è installato il servizio. In questo caso il firewall proxy raccoglie le informazioni per il client e restituisce i dati ricevuti dal servizio al client. Poiché il server proxy ottiene le informazioni per un solo client, ne memorizza anche il contenuto nella cache del disco o della memoria. In questo modo, se un altro client richiede esattamente gli stessi dati, la richiesta può essere soddisfatta utilizzando la cache e, quindi, riducendo il traffico di rete e i tempi di elaborazione del server.
Nel caso delle sessioni non crittografate, come le sessioni FTP di sola lettura e HTTP, il firewall proxy crea sessioni separate con il client e il server, in modo che non vi sia mai una connessione diretta tra le due parti. Nelle sessioni crittografate, invece, il server proxy verifica che le informazioni di intestazione siano conformi agli standard di comunicazione SSL (Secure Sockets Layer) prima di consentire il passaggio del traffico. Tuttavia il proxy non può esaminare i dati in transito poiché utilizza una crittografia end-to-end definita dal client e dal server.
I vantaggi dell'utilizzo di un server proxy rispetto alle tecnologie firewall esaminate in precedenza includono i seguenti aspetti:
Nessuna connessione diretta tra client e server Il client e il server, in genere, non entrano in contatto diretto e, anche se ciò si verifica, come nel caso della comunicazione SSL, viene eseguito un controllo dell'intestazione di protocollo del traffico.
Caching nel server del contenuto dei siti richiesti con maggiore frequenza La funzione di caching consente di ridurre l'utilizzo della larghezza di banda e impedisce l'uscita dall'ambiente di richieste superflue.
Convalida dei protocolli in transito attraverso il server Oltre a convalidare il numero di porta utilizzato per la comunicazione, i server proxy convalidano anche i protocolli su cui si basa la comunicazione. I protocolli esaminati con maggiore frequenza sono quelli FTP di solo download, HTTP, SSL e alcuni servizi per l'invio di messaggi di solo testo, che non includono video, audio o trasferimenti di file.
Possibilità di configurare l'inoltro delle richieste in base a un ID utente I server proxy spesso possono essere configurati in modo da inoltrare richieste in base all'ID utente anziché considerare solo l'indirizzo IP di origine, la porta o il protocollo, consentendo in questo modo l'impostazione di limitazioni solo per utenti specifici.
Lo svantaggio principale di un server proxy è che richiede una potenza di elaborazione molto più elevata per eseguire il controllo del protocollo. Questo aspetto però sta assumendo un'importanza secondaria in quanto i livelli di potenza di elaborazione disponibili diventano sempre più elevati. Inoltre, i server proxy non possono contare sulla velocità effettiva di un firewall di tipo Stateful Inspection o con filtro dei pacchetti. Si potrebbe obiettare però che i vantaggi aggiunti del controllo dei protocolli sono fondamentali in una realtà in cui le reti a velocità elevata abbondano per gli utenti privati e la connessione a Internet diventa sempre più accessibile a nodi non attendibili, connessi tramite ISP con obblighi legali praticamente inesistenti a fornire servizi Internet attendibili.
La funzionalità proxy in genere contribuisce a ridurre il rischio associato alla ricognizione di rete, agli attacchi di tipo DoS e spoofing IP, a virus e Trojan horse e ad alcuni attacchi a livello di applicazione.
Filtraggio a livello di applicazione
Il livello più sofisticato di controllo del traffico del firewall è rappresentato dal filtraggio a livello di applicazione. Un buon filtro applicativo consente di analizzare un flusso di dati relativo a una determinata applicazione e garantire particolari attività di elaborazione, quali il controllo, lo screening o il blocco, il reindirizzamento e la modifica dei dati al passaggio attraverso il firewall.
Questo meccanismo viene utilizzato per proteggere il sistema da comandi SMTP non sicuri o attacchi sferrati contro server DNS interni. In genere, è possibile aggiungere al firewall strumenti di terze parti per lo screening del contenuto, quali applicazioni per il rilevamento dei virus, l'analisi lessicale e la classificazione dei siti.
Un firewall a livello di applicazione è in grado di controllare molti protocolli diversi sulla base del traffico che passa attraverso di esso. A differenza di un firewall di tipo proxy, che esamina in genere il traffico Internet di tipo HTTP, download FTP e SSL, il firewall applicativo ha maggiore controllo sui percorsi del traffico che passa attraverso di esso. Un firewall a livello di applicazione è, ad esempio, in grado di consentire il passaggio solo al traffico UDP generato all'interno dei limiti del firewall. Se un host Internet è impostato per eseguire la scansione delle porte di un firewall di tipo Stateful Inspection al fine di verificare se quest'ultimo consente il traffico DNS nell'ambiente, la scansione evidenzierebbe probabilmente che la ben nota porta associata al DNS è aperta, ma una volta in corso l'attacco, il firewall rifiuterebbe le richieste perché provenienti dall'esterno della rete. Un firewall a livello di applicazione potrebbe aprire le porte dinamicamente valutando se il traffico ha o meno un'origine interna alla rete.
La funzionalità firewall a livello applicativo consente di ridurre i rischi associati allo spoofing IP, agli attacchi di tipo DoS e ad alcuni attacchi a livello di applicazione, alla ricognizione di rete e a virus e Trojan horse. Tuttavia, questo genere di firewall presenta svantaggi simili a quelli del proxy in quanto richiede più potenza di elaborazione dei firewall di tipo Stateful Inspection o con funzionalità di filtraggio statico e rallentare ulteriormente, rispetto a questi ultimi, il passaggio del traffico. Quando si utilizza un firewall applicativo è molto importante stabilire quali siano le funzioni garantite a livello delle applicazioni.
La funzionalità a livello di applicazione garantisce che il traffico passato su una porta sia appropriato. A differenza dei firewall con filtro dei pacchetti e di tipo Stateful Inspection, che si limitano a controllare la porta e l'indirizzo IP di origine e di destinazione, i firewall che supportano la funzionalità di filtraggio a livello di applicazione possono esaminare i dati e i comandi che vengono passati.
La maggior parte dei firewall con funzionalità di filtro a livello di applicazione prevede il filtraggio solo del traffico con testo in chiaro quale, ad esempio, quello rappresentato da un servizio di messaggistica dipendente da un server proxy o da servizi HTTP e FTP. È importante ricordare che un firewall che supporta tale funzionalità può controllare il traffico in entrata e in uscita dall'ambiente. Un altro vantaggio dei firewall applicativi consiste nella possibilità di controllare il traffico DNS al passaggio attraverso il firewall per individuare comandi specifici del DNS. Questo ulteriore livello di protezione garantisce che gli utenti o i pirati informatici non possano mascherare informazioni nei tipi di traffico consentiti.
Se l'organizzazione ha un archivio in linea che raccoglie numeri di carta di credito e altre informazioni personali dei clienti, sarebbe prudente prendere tutte le precauzioni del caso al fine di garantire il più alto livello di protezione dei dati. In questo contesto è essenziale che i dati che richiedono un livello di protezione elevato vengano crittografati tra il computer dell'utente e i server Web mediante il protocollo SSL (Secure Sockets Layer).
In alcuni casi la funzionalità a livello applicativo viene utilizzata insieme al protocollo SSL. Questo protocollo è crittografato e il firewall non è in grado di interpretarne i comandi poiché sono posizionati all'interno del pacchetto crittografato. Ogni firewall che supporta la funzionalità di livello applicativo gestisce questa situazione in maniera diversa, quindi è importante leggere le specifiche fornite nella documentazione del firewall scelto.
Il problema risiede nel fatto che, quando è stata stabilita una sessione SSL e la crittografia è stata negoziata, non è previsto alcun controllo dei dati. Ad esempio, un client che utilizza un firewall con funzionalità di livello applicativo di tipo proxy richiede al firewall di stabilire una connessione a un server Web protetto. Il firewall e il server eseguono le operazioni iniziali di configurazione della connessione TCP, quindi il firewall passa la connessione al client affinché definisca la crittografia con il server. Quando la connessione viene passata al client, il firewall non può più controllare i dati.
Quando la funzionalità di livello applicativo viene utilizzata per esporre pubblicamente servizi Internet, sono disponibili le seguenti opzioni:
Interrompere il traffico SSL nel firewall In questo modo il firewall può controllare le connessioni SSL in ingresso per individuare il traffico Web valido e respingere il traffico mentre vengono decrittografati i dati per il servizio Internet.
Rigenerare il traffico SSL dal firewall al servizio Web esposto Questa soluzione è particolarmente efficace se si utilizzano credenziali di base, ad esempio nome utente e password in testo non crittografato, nel tunnel SSL. Se un utente cerca di eseguire un'operazione di sniffing sul traffico tra l'interfaccia interna del firewall e il servizio Web pubblicato, non potrà accedere al traffico poiché sarà stato nuovamente crittografato.
Consentire il passaggio del traffico SSL attraverso il firewall verso il server back-end Questa soluzione è essenzialmente l'opposto dell'approccio che prevede la connessione SSL tra il client interno e il server esterno.
Queste opzioni offrono molte opportunità per controllare quale livello di accesso concedere a una sessione crittografata all'interno di un ambiente. In genere è consigliabile mantenere il più possibile il traffico crittografato ai margini dell'ambiente poiché non è possibile in alcun modo conoscere cosa sia effettivamente contenuto in tale tunnel.
Classi di firewall
In questa sezione sono riportate diverse classi di firewall, ciascuna delle quali garantisce determinate funzionalità. È possibile avvalersi di specifiche classi di firewall per rispondere a specifici requisiti di progettazione di un'architettura IT.
Il raggruppamento dei firewall in classi consente di separare l'hardware dai requisiti del servizio, in modo che questi possano essere basati sulle funzionalità delle classi. Se un firewall rientra in una determinata classe, ne consegue che supporta tutti i servizi di tale classe.
Di seguito sono riportate le diverse classi:
Firewall personali.
Router con funzionalità firewall.
Firewall hardware di fascia bassa.
Firewall hardware di fascia alta.
Firewall di tipo server.
Alcune classi presentano caratteristiche che si sovrappongono. La sovrapposizione consente di ascrivere un tipo di soluzione firewall a più classi. Molte classi supportano, inoltre, l'utilizzo di più modelli di hardware dello stesso fornitore, in modo che un'organizzazione sia libera di scegliere il modello più adatto alle esigenze presenti e future.
Oltre al prezzo e alla serie di funzionalità offerta, un altro fattore su cui è possibile basare la classificazione dei firewall è rappresentato dalle prestazioni o dalla velocità effettiva. Tuttavia, per la maggior parte dei firewall, i produttori non forniscono dati relativi alla velocità effettiva. Nei casi in cui tali valori vengono forniti, cosa che accade in genere per i dispositivi firewall di tipo hardware, non viene seguito alcun processo di misurazione standard e questo rende difficili i confronti tra i diversi produttori. Ad esempio, una delle unità di misura in uso è il numero di bit al secondo (bps), ma poiché il firewall passa di fatto pacchetti IP, questa unità di misura non ha alcun significato se non viene specificata la dimensione del pacchetto utilizzata per misurare la velocità.
Nelle seguenti sezioni le singole classi di firewall vengono definite in maggiore dettaglio.
Classe 1: firewall personale
Un firewall personale è un servizio software che offre semplici funzionalità firewall per un PC. L'uso di firewall personali è cresciuto di pari passo all'aumento del numero di connessioni Internet permanenti, che si stanno rapidamente affermando su quelle remote.
Sebbene sia progettato per proteggere un singolo computer, un firewall personale è in grado di proteggere anche una rete di piccole dimensioni, se il computer in cui è installato condivide la connessione a Internet con altri computer della rete interna. Tuttavia, questo tipo di firewall ha prestazioni limitate e riduce anche le prestazioni del PC in cui è installato. I meccanismi di protezione sono in genere meno efficaci di quelli di una soluzione firewall dedicata, perché si limitano a bloccare gli indirizzi IP e delle porte, sebbene per un PC sia normalmente richiesto un livello di protezione più basso.
I firewall personali possono essere già forniti in un sistema operativo o essere disponibili a un costo estremamente ridotto. Svolgono bene la funzione per cui sono stati progettati ma, a causa delle prestazioni e delle funzionalità limitate, se ne sconsiglia l'utilizzo in una rete aziendale, anche se solo per filiali di piccole dimensioni. I firewall personali sono, tuttavia, particolarmente adatti a utenti mobili che operano su computer laptop.
Le capacità e il prezzo dei firewall personali possono variare in maniera significativa. Tuttavia, l'assenza di una specifica funzionalità, in particolare in un laptop, può non essere così importante. Nella tabella che segue sono riportate le funzionalità generalmente disponibili nei firewall personali.
Tabella 1. Classe 1: firewall personali
| Caratteristica del firewall | Valore |
|---|---|
| Funzionalità di base supportate | La maggior parte dei firewall personali supporta i filtri di pacchetti statici e le tecnologie NAT e Stateful Inspection, mentre solo alcuni supportano il controllo a livello di circuito e/o il filtraggio a livello di applicazione. |
| Configurazione | Automatica (è disponibile anche l'opzione manuale) |
| Blocco o autorizzazione degli indirizzi IP | Sì |
| Blocco o autorizzazione del protocollo o dei numeri di porta | Sì |
| Blocco o autorizzazione dei messaggi ICMP in ingresso | Sì |
| Controllo dell'accesso in uscita | Sì |
| Protezione delle applicazioni | Possibile |
| Segnalazioni acustiche o avvisi visivi | Possibile |
| File di registro degli attacchi | Possibile |
| Avvisi in tempo reale | Possibile |
| Supporto VPN | No (nella maggior parte dei casi) |
| Gestione remota | No (nella maggior parte dei casi) |
| Supporto da parte del produttore | Diverse possibilità a seconda del prodotto |
| Opzione di elevata disponibilità | No |
| Numero di sessioni simultanee | Da 1 a 10 |
| Possibilità di aggiornamento modulare (hardware o software) | Da nessuna a limitata |
| Categoria di prezzo | Bassa (prodotti in alcuni casi gratuiti) |
| Caratteristica del firewall | Valore |
|---|---|
| Funzionalità di base supportate | La maggior parte dei router con funzionalità firewall supportano filtri di pacchetti statici. I router di fascia più bassa supportano in genere NAT, quelli di fascia più alta, invece, possono supportare il filtraggio in modalità Stateful Inspection e/o a livello di applicazione. |
| Configurazione | In genere automatica per i router di fascia più bassa (con opzioni manuali). Spesso manuale nei router di fascia più alta. |
| Blocco o autorizzazione degli indirizzi IP | Sì |
| Blocco o autorizzazione del protocollo o dei numeri di porta | Sì |
| Blocco o autorizzazione dei messaggi ICMP in ingresso | Sì |
| Controllo dell'accesso in uscita | Sì |
| Protezione delle applicazioni | Possibile |
| Segnalazioni acustiche o avvisi visivi | Sì (nella maggior parte dei casi) |
| File di registro degli attacchi | In molti casi |
| Avvisi in tempo reale | In molti casi |
| Supporto VPN | Frequente nei router di fascia più bassa, non così comune in quelli di fascia più alta. Per questa attività sono disponibili dispositivi o server dedicati. |
| Gestione remota | Sì |
| Supporto da parte del produttore | Di norma limitato nei router di fascia più bassa e di buon livello in quelli di fascia più alta. |
| Disponibilità dell'opzione di elevata disponibilità | Fascia bassa: No - Fascia alta: Sì |
| Numero di sessioni simultanee | 10 - 1.000 |
| Possibilità di aggiornamento modulare (hardware o software) | Fascia bassa: No - Fascia alta: Limitato |
| Categoria di prezzo | Da bassa ad alta |
| Caratteristica del firewall | Valore |
|---|---|
| Funzionalità di base supportate | La maggior parte dei firewall hardware di fascia bassa supporta i filtri di pacchetti statici e la tecnologia NAT. In alcuni casi possono supportare anche la tecnologia Stateful Inspection e/o il filtro a livello di applicazione. |
| Configurazione | Automatica (è disponibile anche l'opzione manuale) |
| Blocco o autorizzazione degli indirizzi IP | Sì |
| Blocco o autorizzazione del protocollo o dei numeri di porta | Sì |
| Blocco o autorizzazione dei messaggi ICMP in ingresso | Sì |
| Controllo dell'accesso in uscita | Sì |
| Protezione delle applicazioni | No (nella maggior parte dei casi) |
| Segnalazioni acustiche o avvisi visivi | No (nella maggior parte dei casi) |
| File di registro degli attacchi | No (nella maggior parte dei casi) |
| Avvisi in tempo reale | No (nella maggior parte dei casi) |
| Supporto VPN | In alcuni casi |
| Gestione remota | Sì |
| Supporto da parte del produttore | Limitato |
| Disponibilità dell'opzione di elevata disponibilità | No (nella maggior parte dei casi) |
| Numero di sessioni simultanee | > 10 - 7.500 |
| Possibilità di aggiornamento modulare (hardware o software) | Limitato |
| Categoria di prezzo | Bassa |
| Caratteristica del firewall | Valore |
|---|---|
| Funzionalità di base supportate | La maggior parte dei firewall hardware di fascia alta supporta i filtri di pacchetti statici e la tecnologia NAT. In alcuni casi possono supportare anche la tecnologia Stateful Inspection e/o il filtro a livello di applicazione. |
| Configurazione | Manuale (nella maggior parte dei casi) |
| Blocco o autorizzazione degli indirizzi IP | Sì |
| Blocco o autorizzazione del protocollo o dei numeri di porta | Sì |
| Blocco o autorizzazione dei messaggi ICMP in ingresso | Sì |
| Controllo dell'accesso in uscita | Sì |
| Protezione delle applicazioni | Potenziale |
| Segnalazioni acustiche o avvisi visivi | Sì |
| File di registro degli attacchi | Sì |
| Avvisi in tempo reale | Sì |
| Supporto VPN | Potenziale |
| Gestione remota | Sì |
| Supporto da parte del produttore | Di buon livello |
| Disponibilità dell'opzione di elevata disponibilità | Sì |
| Numero di sessioni simultanee | > 7.500 - 500.000 |
| Possibilità di aggiornamento modulare (hardware o software) | Sì |
| Categoria di prezzo | Alta |
| Caratteristica del firewall | Valore |
|---|---|
| Funzionalità supportate | La maggior parte dei firewall di tipo server di fascia alta supporta i filtri dei pacchetti statici e la tecnologia NAT. Può supportare anche la tecnologia Stateful Inspection e/o il filtraggio a livello di applicazione. |
| Configurazione | Manuale (nella maggior parte dei casi) |
| Blocco o autorizzazione degli indirizzi IP | Sì |
| Blocco o autorizzazione del protocollo o dei numeri di porta | Sì |
| Blocco o autorizzazione dei messaggi ICMP in ingresso | Sì |
| Controllo dell'accesso in uscita | Sì |
| Protezione delle applicazioni | Potenziale |
| Segnalazioni acustiche o avvisi visivi | Sì |
| File di registro degli attacchi | Sì |
| Avvisi in tempo reale | Sì |
| Supporto VPN | Potenziale |
| Gestione remota | Sì |
| Supporto da parte del produttore | Di buon livello |
| Disponibilità dell'opzione di elevata disponibilità | Sì |
| Numero di sessioni simultanee | Oltre 50.000 (su più segmenti di rete) |
| Possibilità di aggiornamento modulare (hardware o software) | Sì |
| Altro | Sistema operativo di uso comune |
| Categoria di prezzo | Alta |
| Fattore da valutare | Caratteristiche tipiche del firewall implementato |
|---|---|
| Funzionalità firewall richieste, secondo quanto specificato dall'amministratore della protezione | Occorre trovare un giusto compromesso tra il grado di protezione richiesto e il costo di un incremento della protezione in termini economici e di riduzione delle prestazioni. Sebbene molte organizzazioni desiderino ottenere la massima protezione da un firewall perimetrale, ne esistono alcune che non sono disposte ad accettare la conseguente riduzione delle prestazioni. Ad esempio, nei siti Web non collegati all'e-commerce dai volumi molto elevati, è possibile applicare livelli di protezione più bassi in considerazione dei livelli di velocità effettiva più alti ottenuti utilizzando i filtri di pacchetti statici invece del filtraggio a livello di applicazione. |
| Valutazione della tipologia di firewall, che potrà essere un dispositivo fisico dedicato o un firewall logico su un dispositivo fisico oppure potrà offrire anche altre funzionalità | In quanto punto di collegamento tra Internet e la rete aziendale, il firewall perimetrale è spesso implementato come dispositivo dedicato allo scopo di ridurre al minimo la superficie esposta agli attacchi e la possibilità di accesso alle reti interne in caso di violazione del dispositivo. |
| Requisiti di gestibilità del dispositivo, secondo quanto specificato nell'architettura di gestione dell'organizzazione | È utilizzato in genere un metodo di registrazione e richiesto un meccanismo di monitoraggio degli eventi. È possibile scegliere di non consentire l'amministrazione remota per impedire a utenti malintenzionati di amministrare il dispositivo in remoto. |
| Requisiti di velocità effettiva, probabilmente definiti dagli amministratori di rete e dei servizi dell'organizzazione | Questi requisiti variano da ambiente ad ambiente, ma la potenza dell'hardware del dispositivo o del server e le funzionalità firewall in uso determineranno la velocità effettiva globale della rete disponibile. |
| Requisiti di disponibilità | In quanto via d'accesso a Internet nelle grandi aziende, è spesso richiesto un elevato livello di disponibilità, soprattutto se il firewall perimetrale viene utilizzato per proteggere un sito Web che genera profitti per l'azienda. |