Privacy Policy

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Spesso, quando chiedo il tipo di protezione che viene implementata in azienda riguardo al firewall, mi vengono presentatati e portati come trofei eccezionali apparati di varie marche; dai costi approssimativi inferiori alle 250 euro e che fanno le più disparate e incredibile cose a dire del cliente.
Ora non voglio certo affermare che non funziona o che funziona male solo perché costa poco, ma parlando della propria sicurezza in azienda è meglio chiarire o quantomeno fare un po' di luce sulle differenze che ci sono fra apparati di fascia bassa, media e alta.

Direttamente da Wikipedia, in parte da Cisco e con qualche mia piccola ggiunta, un interessante precisazione sulle varie tipologie di Firewall.
Tanto per capire che un ZyXel (senza nulla togliere alla ZyXel) da 100€ euro non è la stessa cosa di un WatchGuard da 2000€ o di un ASA da 5000€ anche se sono tutti dei Firewall....

Tipologie

Di seguito viene proposta una descrizione dei tipi di firewall.

Firewall proxy (Con Open Source)

Uno dei primi tipi di dispositivi firewall sviluppati è il firewall proxy, che funge da gateway tra le reti per una specifica applicazione. I server proxy possono offrire funzionalità aggiuntive come il caching e la protezione dei contenuti che impediscono connessioni dirette dall'esterno della rete. Questa soluzione può tuttavia avere ripercussioni sulla velocità di trasmissione e sulle applicazioni supportate.
Era una soluzione che generalmente veniva implementata con macchine Linux utilizzando Squid come Proxy Server, Iptables come Packet Forward e DansGuard come filtro sui contenuti. 
Era una soluzione che funzionava abbastanza bene su linee dati non molto veloci, dove il Caching del Proxy aveva senso. Ora con le linee dati che ormai si avvicinano ai 100Mbps, non è piùperformate questo tipo di soluzione. Oltre a non essere sufficientemente sicura come implementazione attuale per una protezione aziendale.
Comunque a quel tempo (!) aveva il suo fascino poter sbirciare nei log del Proxy e "scoprire" tutte le URL di accesso... 

Packet filter firewall o stateless firewall

Un packet filter firewall o stateless firewall analizza ogni pacchetto che lo attraversa singolarmente, senza tenere conto dei pacchetti che lo hanno preceduto. In tale analisi vengono considerate solo alcune informazioni contenute nell'header del pacchetto, in particolare quelle appartenenti ai primi tre livelli del modello OSI più alcune del quarto. Le informazioni in questione sono l'indirizzo IP della sorgente, l'indirizzo IP della destinazione, la porta della sorgente, la porta della destinazione e il protocollo di trasporto. Su questi parametri vengono costruite le regole che formalizzano la policy del firewall e che stabiliscono quali pacchetti lasciar passare e quali bloccare. Questo tipo di filtraggio è semplice e leggero ma non garantisce un'elevata sicurezza. Infatti risulta vulnerabile ad attacchi di tipo IP spoofing in quanto non riesce a distinguere se un pacchetto appartenga o no ad una connessione attiva. Quindi, a causa della mancanza di stato, il firewall lascia passare anche i pacchetti il cui indirizzo IP sorgente originale, non consentito dalla policy del firewall, viene volutamente modificato con un indirizzo consentito. Inoltre il filtraggio, basato solo sulle informazioni dei primi livelli del modello OSI, non permette al firewall di rilevare gli attacchi basati su vulnerabilità dei livelli superiori. Pochi packet filter firewall supportano delle funzionalità di logging e di reporting di base.

Stateful firewall o circuit-level gateway

Uno stateful firewall o circuit-level gateway svolge lo stesso tipo di filtraggio dei packet filter firewall e in più tiene traccia delle connessioni e del loro stato. Questa funzionalità, detta stateful inspection, viene implementata utilizzando una tabella dello stato interna al firewall nella quale ogni connessione TCP e UDP viene rappresentata da due coppie formate da indirizzo IP e porta, una per ciascun endpoint della comunicazione. Per tenere traccia dello stato di una connessione TCP vengono memorizzati il sequence number, l'acknowledgement number e i flag che ne indicano l'inizio (SYN), la parte centrale (ACK) e la fine (FIN). Quindi uno stateful firewall bloccherà tutti i pacchetti che non appartengono ad una connessione attiva, a meno che non ne creino una nuova, o che non rispettino l'ordine normale dei flag nella comunicazione. La possibilità di filtrare i pacchetti sulla base dello stato delle connessioni previene gli attacchi di tipo IP spoofing ma comporta una maggiore difficoltà nella formulazione delle regole. Inoltre gli stateful firewall non rilevano gli attacchi nei livelli OSI superiori al quarto e sono sensibili agli attacchi DoS che ne saturano la tabella dello stato. In generale, rispetto ai packet filter firewall, offrono una maggiore sicurezza, un logging migliore e un controllo migliore sui protocolli applicativi che scelgono casualmente la porta di comunicazione (come FTP) ma sono più pesanti dal punto di vista delle performance.

Application firewall o proxy firewall o application gateway

Un application firewall o proxy firewall o application gateway opera fino al livello 7 del modello OSI filtrando tutto il traffico di una singola applicazione sulla base della conoscenza del suo protocollo. Questo tipo di firewall analizza i pacchetti nella sua interezza considerando anche il loro contenuto (payload) ed è quindi in grado di distinguere il traffico di un'applicazione indipendentemente dalla porta di comunicazione che questa utilizza. Un'altra caratteristica che lo distingue da un packet filter firewall e da uno stateful firewall è la capacità di spezzare la connessione tra un host della rete che protegge e un host della rete esterna. Infatti nelle comunicazioni svolge il ruolo di intermediario ed è quindi l'unico punto della rete che comunica con l'esterno, nascondendo così gli altri host che vi appartengono. Questo tipo di firewall è in grado di rilevare i tentativi di intrusione attraverso lo sfruttamento di un protocollo e di realizzare le funzionalità di logging e reporting in modo migliore rispetto ai firewall precedentemente descritti. Sebbene aumenti il livello della sicurezza, un application firewall è specifico per ogni applicazione e costituisce un collo di bottiglia per le performance della rete.

Next-generation firewall generico

Un next-generation firewall è una piattaforma che riunisce in un unico pacchetto diverse tecnologie per la sicurezza. Fra queste ci sono le tecnologie di filtraggio dei firewall presentati in precedenza ovvero il filtraggio stateless, la stateful inspection, l'analisi dei pacchetti a livello applicativo (deep-packet introspection) e altre funzionalità aggiuntive come il NAT e il supporto alle VPN. Alcune delle altre caratteristiche tipiche di un next-generation firewall sono: il rilevamento e la prevenzione delle intrusioni (sistemi IDS e IPS), la definizione di policy specifiche per ogni applicazione, l'integrazione dell'identità dell'utente, l'acquisizione di dati di supporto per la sicurezza da fonti esterne, la qualità di servizio. L'obiettivo di questa tecnologia di firewall è la semplificazione di configurazione e gestione di un insieme eterogeneo di strumenti di sicurezza e allo stesso tempo il miglioramento del loro impatto sulle performance dell'intero sistema.

Next-Generation Firewall Cisco (NGFW)

Oggi i firewall non si limitano più al filtro dei pacchetti e all'esecuzione di Stateful Inspection. La maggior parte delle aziende utilizza soluzioni Next-Generation Firewall per bloccare le minacce più recenti come il malware avanzato e gli attacchi a livello di applicazione.

In base alla definizione fornita da Gartner Inc., un Next-Generation Firewall deve avere le seguenti caratteristiche:

  • Funzionalità firewall standard, come la stateful inspection
  • Prevenzione delle intrusioni integrata
  • Riconoscimento e controllo delle applicazioni per individuare e bloccare le app pericolose
  • Percorsi di aggiornamento per includere feed di informazioni futuri
  • Tecniche per far fronte alle minacce alla sicurezza in costante evoluzione

Queste funzionalità stanno diventando ormai lo standard per gran parte delle aziende, ma le soluzioni NGFW possono offrire molto di più.

NGFW incentrato sulle minacce

Questi firewall sono dotati di tutte le caratteristiche presenti in una soluzione NGFW tradizionale, ma includono anche funzioni avanzate di rilevamento delle minacce e correzione. L'NGFW incentrato sulle minacce consente di:

  • Individuare le risorse più a rischio con informazioni dettagliate sul contesto
  • Reagire tempestivamente agli attacchi grazie all'automazione intelligente della sicurezza che consente di impostare le policy e rafforzare le difese in modo dinamico
  • Rilevare in modo più efficace le attività evasive o sospette tramite la correlazione degli eventi della rete e dell'endpoint
  • Ridurre notevolmente l'intervallo di tempo tra l'individuazione e l'intervento correttivo con soluzioni di sicurezza retrospettiva che monitorano costantemente la rete per rilevare attività e comportamenti sospetti anche dopo l'indagine iniziale
  • Semplificare l'amministrazione e ridurre la complessità grazie a policy unificate che proteggono la rete in tutte le fasi dell'attacco

Un po' di luce in un mare di buio che pervade dietro la parola Firewall....
Ciao Luca

C e r t i f i c a z i o n i