Un firewall è un sistema di sicurezza della rete informatica che limita il traffico Internet in entrata, in uscita o all'interno di una rete privata.
Questo software o unità hardware-software dedicata funziona bloccando o consentendo in maniera selettiva i pacchetti di dati. In genere è progettato per aiutare a prevenire attività dannose e per impedire che qualcuno, all'interno o all'esterno di una rete privata, metta in atto attività Web non autorizzate.
I firewall sono equiparabili a recinzioni o cancelli che gestiscono il transito dell'attività Web consentita e vietata all'interno di una rete privata. Il termine deriva dal concetto delle paratie antincendio utilizzate per rallentare il propagarsi delle fiamme fino all'arrivo dei servizi di pronto intervento. Analogamente, i firewall per la sicurezza della rete si occupano della gestione del traffico Web e generalmente sono pensati per rallentare la diffusione delle minacce Web.
I firewall creano dei "colli di bottiglia" per incanalare il traffico Web, in corrispondenza dei quali viene esaminato sulla base di una serie di parametri programmati per mettere in atto azioni opportune. Alcuni firewall monitorano anche il traffico e le connessioni tramite log di audit per fare riferimento a quanto è stato consentito o bloccato.
In genere i firewall vengono usati per definire i confini di una rete privata o dei suoi dispositivi host. In quanto tali, i firewall costituiscono uno strumento di sicurezza nella più ampia categoria del controllo degli accessi degli utenti. Queste barriere vengono in genere configurate in due posizioni: su computer dedicati all'interno della rete o sui computer degli utenti e altri endpoint (host).
Un firewall decide quale traffico di rete può passare e quale è pericoloso. Essenzialmente separa il buono dal cattivo o l'attendibile dal non attendibile. Tuttavia, prima di scendere nei dettagli, è utile comprendere la struttura delle reti basate sul Web.
I firewall sono pensati per garantire la sicurezza delle reti private e dei dispositivi endpoint al loro interno, detti host di rete. Gli host di rete sono dispositivi che "parlano" con altri host in rete. Inviano e ricevono traffico tra le reti interne, oltre a traffico in entrata e in uscita tra reti esterne.
I computer e altri dispositivi endpoint utilizzano le reti per accedere a Internet e connettersi tra loro. Tuttavia, Internet è segmentata in sotto-reti o "subnet" per motivi di sicurezza e privacy. I principali segmenti delle subnet sono i seguenti:
Gli screening router sono computer gateway specializzati posizionati in una rete per segmentarla. Sono noti come firewall domestici a livello rete. I due modelli di segmento più comuni sono il firewall screened host e il firewall screened subnet:
Sia la rete perimetrale che gli stessi computer host possono ospitare un firewall. A questo scopo, viene posizionato tra un computer singolo e la relativa connessione a una rete privata.
Un firewall di rete richiede una configurazione sulla base di un'ampia gamma di connessioni, mentre un firewall host può essere personalizzato per le specifiche esigenze dei diversi computer. Tuttavia, i firewall host richiedono un maggiore sforzo per la personalizzazione, il che significa che quelli basati su rete sono l'ideale per una soluzione di controllo più completa. Ma l'utilizzo di entrambi i firewall in tutte e due le posizioni contemporaneamente è la scelta più opportuna per un sistema di sicurezza multi-livello.
Il filtraggio del traffico tramite firewall fa uso di regole pre-configurate o apprese in modo dinamico per consentire e rifiutare i tentativi di connessioni. Queste regole specificano il modo in cui un firewall regola il flusso del traffico Web attraverso la rete privata e i dispositivi privati. Indipendentemente dalla tipologia, tutti i firewall possono filtrare il traffico sulla base di una combinazione dei seguenti fattori:
L'origine e la destinazione sono comunicate da indirizzi IP (Internet Protocol) e porte. Gli indirizzi IP sono nomi di dispositivo univoci per ogni host. Le porte sono un sottolivello di qualsiasi dispositivo host con origine e destinazione date, analoghe a uffici all'interno di un edificio più ampio. Alle porte vengono in genere assegnati obiettivi specifici, quindi determinati protocolli e indirizzi IP che utilizzino porte non comuni o porte disabilitate possono costituire un problema.
Utilizzando questi identificatori, un firewall può decidere se un pacchetto di dati che sta tentando una connessione debba essere scartato, silenziosamente o con una risposta di errore al mittente, oppure inoltrato.
Diversi tipi di firewall includono metodi diversificati di filtraggio. Per quanto ogni tipo sia stato sviluppato per superare le precedenti generazioni di firewall, buona parte della tecnologia principale si è tramandata da una generazione all'altra.
I tipi di firewall si distinguono per l'approccio a:
Ogni tipo opera a un livello differente del modello di comunicazione standardizzato, il modello Open Systems Interconnection (OSI). Questo modello offre una visuale migliore del modo in cui ogni firewall interagisce con le connessioni.
I firewall con filtraggio statico dei pacchetti, detti anche firewall con stateless inspection, operano al livello di rete OSI (livello 3). Offrono un filtro di base controllando tutti i singoli pacchetti di dati inviati attraverso la rete, in base alla loro provenienza e a dove tentano di andare. Nello specifico, le connessioni precedentemente accettate non vengono tracciate. Questo significa che ogni connessione deve essere riapprovata a ogni pacchetto di dati inviato.
Il filtraggio si basa su indirizzi IP, porte e protocolli dei pacchetti. Questi firewall, come requisito minimo, impediscono a due reti di connettersi direttamente senza autorizzazione.
Le regole per il filtraggio sono impostate sulla base di un elenco di controllo degli accessi creato manualmente. Sono molto rigide ed è difficile coprire il traffico indesiderato in modo appropriato senza compromettere la semplicità di utilizzo della rete. Il filtraggio statico richiede una revisione manuale costante per essere usato in modo efficace. Può essere gestibile in reti di piccole dimensioni ma può complicarsi rapidamente in quelle più grandi.
L'impossibilità di leggere i protocolli applicativi implica che il contenuto di un messaggio recapitato all'interno di un pacchetto non possa essere letto. Senza leggere il contenuto, i firewall con filtraggio dei pacchetti hanno una qualità limitata di protezione.
I gateway a livello di circuito operano a livello di sessione (livello 5). Questi firewall verificano la presenza di pacchetti funzionali in un tentativo di connessione e, se funzionano bene, permetteranno una connessione aperta persistente tra le due reti. Il firewall interrompe la supervisione della connessione dopo che ciò avviene.
A prescindere dall'approccio alle connessioni, il gateway a livello di circuito può essere analogo ai firewall di tipo proxy.
Una connessione non monitorata in corso è pericolosa, dal momento che potrebbe essere aperta con mezzi legittimi e in seguito si potrebbe consentire a un utente malintenzionato di entrare ininterrottamente.
I firewall con stateful inspection, chiamati anche firewall con filtraggio dinamico dei pacchetti, sono unici rispetto al filtraggio statico per via della loro capacità di monitorare le connessioni in corso e ricordare quelle precedenti. In origine, operavano a livello di trasporto (livello 4) ma oggi questi firewall possono monitorare molti livelli, incluso quello applicativo (livello 7).
Come i firewall con filtraggio statico, quelli con stateful inspection consentono o bloccano il traffico in base a proprietà tecniche, quali protocolli dei pacchetti, indirizzi IP o porte specifiche. Tuttavia, questi firewall tengono anche traccia in modo univoco del traffico e lo filtrano in base allo stato delle connessioni utilizzando una tabella di stato.
Questo firewall aggiorna le regole di filtraggio in base a eventi di connessioni precedenti registrate nella tabella di stato dallo screening router.
In generale, le decisioni di filtro sono spesso basate su regole stabilite dall'amministratore durante la configurazione del computer e del firewall. Tuttavia, la tabella di stato consente a questi firewall dinamici di prendere le proprie decisioni sulla base di quanto hanno "appreso" da interazioni precedenti. Per esempio, i tipi di traffico che hanno causato interruzioni in passato saranno filtrati in futuro. La flessibilità della stateful inspection ha fatto di questi firewall uno dei più diffusi tipi di protezione disponibili.
I firewall di tipo proxy, detti anche firewall a livello di applicazione (livello 7), sono unici quanto alla lettura e al filtraggio dei protocolli applicativi. Combinano un'ispezione a livello di applicazione, o "deep packet inspection" (DPI), e una di tipo stateful inspection.
Un firewall di tipo proxy è la protezione più vicina possibile a un vero e proprio ostacolo fisico. A differenza di altri tipi di firewall, opera come due ulteriori host tra le reti esterne e i computer host interni, dove ognuno di essi è un rappresentante (o "proxy") per ogni rete.
Il filtraggio si basa sui dati a livello dell'applicazione anziché solo su indirizzi IP, porte e protocolli dei pacchetti di base (UDP, ICMP) come nei firewall basati sui pacchetti. Leggere e comprendere come funzionano FTP, HTTP, DNS e altri protocolli consente un'analisi e un filtraggio incrociato più approfonditi per molti aspetti diversi dei dati.
Come una guardia presso una porta, essenzialmente osserva e valuta i dati in arrivo. Se non viene rilevato alcun problema, i dati possono passare per raggiungere l'utente.
Il lato negativo di questo tipo di protezione "pesante" è che talvolta blocca dati innocui, con conseguenti ritardi nelle funzionalità.
L'evoluzione delle minacce richiede soluzioni sempre più vigorose e i firewall di nuova generazione stanno al passo combinando le caratteristiche dei firewall tradizionali con sistemi di prevenzione delle intrusioni nella rete.
I firewall di nuova generazione specifici per determinati tipi di minacce sono progettati per esaminare e identificare minacce specifiche, come ad esempio il malware avanzato, a un livello più granulare. Utilizzati più di frequente dalle aziende e nelle reti sofisticate, forniscono una soluzione olistica per filtrare le minacce.
Come indica il nome stesso, i firewall ibridi utilizzano due o più tipi di firewall in un'unica rete privata.
L'invenzione del firewall dovrebbe essere vista come un processo ancora in svolgimento. Questo perché si evolve costantemente e nel suo sviluppo e nella sua evoluzione sono stati coinvolti più autori.
Dalla fine degli anni 1980 alla metà degli anni Novanta, ogni autore ha ampliato le diverse versioni e i componenti correlati al firewall prima che diventasse il prodotto utilizzato come base per tutti i firewall moderni.
Brian Reid, Paul Vixie e Jeff Mogul
Alla fine degli anni 1980, Mogul, Reid e Vixie hanno avuto tutti un ruolo presso la Digital Equipment Corp (DEC) nello sviluppo della tecnologia di filtraggio dei pacchetti che si sarebbe dimostrata preziosa per i futuri firewall. Questa ha portato al concetto di verifica delle connessioni esterne prima che entrino in contatto con i computer in una rete interna. Per quanto qualcuno possa considerare questo filtraggio dei pacchetti come il primo firewall, si tratta più di una tecnologia dei componenti che hanno supportato gli effettivi sistemi di firewall a venire.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick e Steven Bellovin
Dalla fine degli anni Ottanta all'inizio dei Novanta uno staff articolato presso l'AT&T Bell Labs ha svolto ricerche e sviluppato il concetto primordiale di firewall gateway a livello di circuito. È stato il primo firewall a verificare e consentire le connessioni in corso rispetto all'idea di riautorizzare ripetutamente l'invio di ogni pacchetto di dati. Presotto, Sharma e Nigam hanno sviluppato il gateway a livello di circuito dal 1989 al 1990 e al loro lavoro è seguito quello di Cheswick e Bellovin con la tecnologia firewall nel 1991.
Marcus Ranum
Dal 1991 al 1992, alla DEC Ranum ha inventato i proxy di sicurezza che sono diventati un componente fondamentale del primo prodotto firewall a livello di applicazione, il prodotto basato su proxy Secure External Access Link (SEAL) del 1991. Può essere visto come un ampliamento del lavoro svolto da Reid, Vixie e Mogul alla DEC ed è stato il primo firewall rilasciato commercialmente.
Gil Shwed e Nir Zuk
Dal 1993 al 1994 alla Check Point, il fondatore dell'azienda Gil Shwed e il prolifico sviluppatore Nir Zuk hanno giocato un ruolo significativo nello sviluppo del primo prodotto firewall intuitivo e adottato su larga scala, Firewall-1. Gil Shwed ha inventato e brevettato la tecnologia della stateful inspection negli Stati Uniti nel 1993. A questo è seguito il lavoro di Nir Zuk su un'interfaccia grafica di semplice utilizzo per il prodotto Firewall-1 del 1994, che si è rivelato essenziale per la più vasta adozione dei firewall in ambienti aziendali e domestici per l'immediato futuro.
Questi sviluppi sono stati fondamentali nel definire il prodotto firewall come lo conosciamo oggi e ognuno di essi è stato utilizzato in una certa misura in molte soluzioni di sicurezza informatica.
Quindi, qual è l'obiettivo dei firewall e perché sono importanti? Le reti senza protezione sono vulnerabili a qualsiasi tipo di traffico che tenti di accedere al sistema. Indipendentemente dal fatto che sia pericoloso o meno, il traffico di rete dovrebbe essere sempre verificato.
La connessione dei personal computer ad altri sistemi IT o a Internet apre una serie di opportunità, incluse la facilità di collaborazione con altri utenti, la possibilità di combinare risorse e migliorare la creatività. Tuttavia, tutto ciò può avvenire a discapito di una protezione completa della rete e dei dispositivi. Hacking, furto di identità, malware e frodi online sono minacce comuni a cui gli utenti si espongono collegando il computer a una rete o a Internet.
Una volta scoperti da un utente malintenzionato, la rete e i dispositivi possono essere facilmente individuati, risultano rapidamente accessibili e sono esposti a minacce ripetute. Le connessioni Internet 24 ore su 24 aumentano questo rischio (dal momento che la rete è accessibile in qualsiasi momento).
Una protezione proattiva è essenziale quando si usa qualsiasi tipo di rete. Gli utenti possono proteggere le loro reti dai pericoli più minacciosi utilizzando un firewall.
Che cosa fa un firewall e da che cosa può proteggerti? Il concetto di firewall per la sicurezza della rete è inteso a restringere la superficie di attacco di una rete a un singolo punto di contatto. Invece di esporre ogni host di una rete direttamente a Internet, tutto il traffico deve prima contattare il firewall. Funzionando anche al contrario, il firewall può filtrare e bloccare il traffico non autorizzato, in entrata o in uscita. I firewall vengono inoltre utilizzati per creare an audit trail dei tentativi di connessioni di rete per una maggiore consapevolezza in ambito di cybersecurity.
Dal momento che il filtraggio del traffico può essere una regola impostata stabilita dai proprietari di una rete privata, questo crea casi d'uso personalizzati per i firewall. I casi d'uso più comuni implicano la gestione dei seguenti aspetti:
Tuttavia, i firewall sono meno efficaci riguardo ai seguenti aspetti:
Nella pratica le applicazioni dei firewall nel mondo reale hanno suscitato sia commenti entusiastici che polemiche. Per quanto esista una storia consolidata di risultati positivi correlati ai firewall, questo tipo di sicurezza deve essere implementato correttamente per evitare exploit. Inoltre, è risaputo che i firewall sono stati utilizzati anche in modi discutibili dal punto di vista etico.
Dal 2000 circa, la Cina ha messo in atto un'infrastruttura di firewall interni per creare una propria rete Intranet attentamente monitorata. Per natura, i firewall consentono la creazione di una versione personalizzata della rete Internet globale all'interno di una nazione. Raggiungono questo obiettivo impedendo l'utilizzo o l'accesso a informazioni e servizi selezionati all'interno della rete Intranet nazionale.
La sorveglianza e la censura a livello nazionale implicano la costante soppressione della libertà di parola mantenendo l'immagine del governo. Inoltre, il firewall della Cina permette al governo di limitare i servizi Internet alle aziende locali. Questo fa sì che il controllo su aspetti come motori di ricerca e servizi e-mail risulti molto più semplice da regolare a favore degli obiettivi del governo.
La Cina ha assistito a una continua protesta interna contro questa censura. L'uso di proxy e reti private virtuali per oltrepassare il firewall nazionale ha permesso a molti di dar voce al proprio dissenso.
Nel 2020 un firewall configurato erroneamente è stato solo una delle molte vulnerabilità per la sicurezza che hanno portato a una violazione anonima dell'agenzia federale degli Stati Uniti.
Si ritiene che un attore statale abbia sfruttato una serie di vulnerabilità nella cybersecurity dell'agenzia statunitense. Tra i tanti problemi citati relativamente alla sicurezza, il firewall in uso presentava molte porte in uscita che risultavano inopportunamente aperte al traffico. Oltre a essere gestita male, la rete dell'agenzia probabilmente ha riscontrato nuove problematiche con il lavoro da remoto. Una volta all'interno della rete, l'autore dell'attacco ha avuto comportamenti tali da indicare un chiaro intento di sfruttare qualsiasi altra via accessibile per arrivare anche ad altre agenzie. Questo tipo di sforzo ha messo a rischio di una violazione della sicurezzanon solo l'agenzia presa di mira ma anche molte altre.
Nel 2019, un fornitore di energia elettrica degli Stati Uniti è stato vittima di una vulnerabilità di tipo Denial-of-Service (DoS) che gli hacker hanno prontamente sfruttato. I firewall sulla rete perimetrale sono rimasti bloccati in un loop di exploit al riavvio per circa dieci ore.
In seguito, si è appurato che è stato il risultato di una vulnerabilità firmware nei firewall nota ma non corretta tramite patch. Non era stata ancora implementata una procedura operativa standard per la verifica degli aggiornamenti prima dell'implementazione, il che causava ritardi negli aggiornamenti e un inevitabile problema di sicurezza. Fortunatamente, questo problema di sicurezza non ha portato a una significativa penetrazione in rete.
Questi eventi sottolineano l'importanza di regolari aggiornamenti software. Senza di essi, i firewall non sono altro che un ennesimo sistema di sicurezza di rete che può essere sfruttato.
Una corretta configurazione e manutenzione del firewall sono essenziali per garantire la protezione della rete e dei suoi dispositivi. Ecco alcuni suggerimenti per mettere in atto adeguate procedure di sicurezza di rete utilizzando i firewall:
Kaspersky Endpoint Security ha ricevuto tre premi AV-TEST per le migliori prestazioni, protezione e usabilità come prodotto per la sicurezza degli endpoint aziendali nel 2021. In tutti i test Kaspersky Endpoint Security ha mostrato prestazioni, protezione e usabilità eccezionali per le aziende.
Link correlati: