Firewall: cos’è e come funziona

I firewall continuano a rappresentare un componente importante della sicurezza aziendale e negli anni hanno continuato ad evolvere per tenere conto delle nuove minacce. Ecco come funzionano e come scegliere quello più adatto alle diverse esigenze.

Un firewall è un dispositivo che ha lo scopo di connettere due o più reti diverse e che viene attraversato dal traffico che va da una rete all’altra; tali reti possono appartenere a diverse zone di sicurezza: alcune sono più fidate e necessitano di maggiore protezione e altre sono più rischiose.

Il firewall implementa quindi policy di sicurezza attraverso le quali viene determinato il traffico che può transitare da una rete all’altra e quello che deve essere bloccato, in quanto rischioso per la rete o le reti che devono essere protette.

Fino a non molti anni fa, quando le misure di sicurezza in azienda erano quasi esclusivamente focalizzate sulla difesa del perimetro, il firewall era il punto nevralgico dell’infrastruttura di sicurezza dell’azienda.

Con l’evoluzione dei sistemi informativi aziendali e la progressiva sfumatura del perimetro aziendale, il firewall ha perso di importanza, tanto che qualcuno ha anche ipotizzato la sua inutilità.

Questo non è certamente vero, perché il firewall non è rimasto lo stesso e si è nel tempo evoluto per adeguarsi alle nuove infrastrutture e alle nuove minacce e, anche se attualmente costituisce una fra le tante tecnologie di sicurezza messe in campo in azienda, riveste sempre un ruolo di primo piano.

Il firewall: come funziona

I punti fondamentali del firewall siano la definizione delle policy, compito del team che gestisce il firewall stesso, e i parametri con le quali tali policy possono essere definite, compito del produttore del firewall.

Le policy di sicurezza vengono generalmente implementate mediante le cosiddette Access Control List (ACL), ovvero liste ordinate di condizioni (ad esempio su IP e protocolli) a cui è associato un target (es. permit/deny): alla fine della lista è presente il target di default.

Ogni pacchetto viene confrontato in ordine con tutte le condizioni e viene inviato a destinazione o scartato a seconda di cosa prevede il target della prima ACL per la quale la condizione è verificata. Se nessuna condizione viene soddisfatta il pacchetto viene scartato o inviato a destinazione secondo quanto previsto dal target di default.

L’evoluzione del firewall

Il firewall è nato negli anni 90 come funzionalità di packet filtering integrata negli apparati di rete. Il packet filtering permette di basare le condizioni delle ACL sulla base degli indirizzi IP sorgente e destinazione, protocollo di trasporto e porta.

Una prima evoluzione dei packet filtering firewall è stato il firewall con funzionalità di stateful inspection. Lo stateful firewall mantiene informazioni sullo stato della connessione, per cui è possibile definire una condizione in un’ACL, oltre che tramite indirizzo IP, protocollo di trasporto e porta, anche mediante lo stato della connessione di cui il pacchetto fa parte.

Tenere traccia del contesto del pacchetto permette di garantire una maggior sicurezza nell’ispezione dei pacchetti.

Successivamente è nata la necessità di salire la pila dei protocolli ISO/OSI, realizzando così i cosiddetti firewall applicativi, ovvero firewall in grado di comprendere (e quindi definire condizioni di filtraggio) sui protocolli di rete del layer applicativo (HTTP, SMTP ecc.).

Questa necessità ha portato alla nascita di soluzioni di sicurezza specializzate, come gli Intrusion Prevention System (IPS), apparati in grado di riconoscere e filtrare pattern di attacco, e Web Application Firewall (WAF), apparati in grado di riconoscere e bloccare eventuali attacchi alle applicazioni web.

Poiché la presenza di diversi apparati di sicurezza di rete rendeva complicata la gestione da parte degli staff di sicurezza sono apparsi sulla scena i cosiddetti firewall Unified Threat Management (UTM), ovvero apparati di sicurezza caratterizzati soprattutto dalla semplicità, che combinano al loro interno diverse tipologie di prodotti: oltre al firewall e ai già citati IPS e WAF, anche antispam, antimalware, URL filtering eccetera.

Nel 2009, Gartner ha coniato il termine Next Generation Firewall per indicare apparati altamente personalizzabili con funzionalità di deep packet inspection, intrusion prevention, capacità di riconoscere le applicazioni (e non solo il protocollo applicativo), funzionalità antimalware con informazioni di intelligence provenienti dall’esterno.

Infine, i paradigmi della virtualizzazione prima e quello delle Software Defined Network (SDN) poi sono stati applicati anche ai firewall, tanto che ora si parla anche di Software Defined Security. Attualmente i principali cloud provider offrono all’interno dei loro servizi IaaS anche firewall virtuali.

L’evoluzione del firewall

Il firewall è nato negli anni 90 come funzionalità di packet filtering integrata negli apparati di rete. Il packet filtering permette di basare le condizioni delle ACL sulla base degli indirizzi IP sorgente e destinazione, protocollo di trasporto e porta.

Una prima evoluzione dei packet filtering firewall è stato il firewall con funzionalità di stateful inspection. Lo stateful firewall mantiene informazioni sullo stato della connessione, per cui è possibile definire una condizione in un’ACL, oltre che tramite indirizzo IP, protocollo di trasporto e porta, anche mediante lo stato della connessione di cui il pacchetto fa parte.

Tenere traccia del contesto del pacchetto permette di garantire una maggior sicurezza nell’ispezione dei pacchetti.

Successivamente è nata la necessità di salire la pila dei protocolli ISO/OSI, realizzando così i cosiddetti firewall applicativi, ovvero firewall in grado di comprendere (e quindi definire condizioni di filtraggio) sui protocolli di rete del layer applicativo (HTTP, SMTP ecc.).

Questa necessità ha portato alla nascita di soluzioni di sicurezza specializzate, come gli Intrusion Prevention System (IPS), apparati in grado di riconoscere e filtrare pattern di attacco, e Web Application Firewall (WAF), apparati in grado di riconoscere e bloccare eventuali attacchi alle applicazioni web.

Poiché la presenza di diversi apparati di sicurezza di rete rendeva complicata la gestione da parte degli staff di sicurezza sono apparsi sulla scena i cosiddetti firewall Unified Threat Management (UTM), ovvero apparati di sicurezza caratterizzati soprattutto dalla semplicità, che combinano al loro interno diverse tipologie di prodotti: oltre al firewall e ai già citati IPS e WAF, anche antispam, antimalware, URL filtering eccetera.

Nel 2009, Gartner ha coniato il termine Next Generation Firewall per indicare apparati altamente personalizzabili con funzionalità di deep packet inspection, intrusion prevention, capacità di riconoscere le applicazioni (e non solo il protocollo applicativo), funzionalità antimalware con informazioni di intelligence provenienti dall’esterno.

Infine, i paradigmi della virtualizzazione prima e quello delle Software Defined Network (SDN) poi sono stati applicati anche ai firewall, tanto che ora si parla anche di Software Defined Security. Attualmente i principali cloud provider offrono all’interno dei loro servizi IaaS anche firewall virtuali.

Tipologie di firewall

Le tipologie di filtraggio introdotte nel paragrafo sull’evoluzione possono essere utili anche per classificare i firewall. Un altro tipo di classificazione può derivare dalla tipologia di utilizzo per il quale sono stati progettati, oppure alla modalità con la quale vengono forniti.

Un firewall Enterprise è progettato per proteggere reti aziendali, fornisce parecchie funzionalità ed è spesso complicato da utilizzare, prevedendo l’utilizzo di personale specializzato.

Un firewall personale, al contrario, è progettato per fornire protezione su un singolo host oppure su una piccola rete. Spesso fornisce funzionalità di base, ma facilità di utilizzo. Sebbene, come dice il nome, siano spesso associati ad un utilizzo personale, per esempio in una rete domestica, possono essere utilizzati in azienda come complemento dei firewall Enterprise.

Un firewall hardware è fornito come apparato appositamente costruito per funzionare come firewall contenente software dedicato. Sebbene sia a tutti gli effetti un computer, con processore, RAM, schede di rete, sistema operativo ecc., tutte le componenti hardware e software sono appositamente progettati per tale scopo. Tutte le componenti del sistema operativo che non servono allo scopo sono rimosse.

Un firewall software è un’applicazione che viene eseguita in un sistema generico, dotato di hardware generico e sistema operativo general purpose. Per tale motivo è generalmente meno efficiente, anche se di contro è meno costoso e più flessibile.

Il firewall nel contesto aziendale

Una prima valutazione che occorre fare in merito all’utilizzo di firewall nel contesto aziendale è la tipologia di firewall del quale ci si vuole dotare e il suo posizionamento all’interno della rete aziendale, visto che i firewall devono essere attraversati dal traffico che deve essere controllato. Occorre quindi conoscere:

  • la struttura della rete aziendale;
  • quale tipologia di traffico la attraversa;
  • la necessità di utilizzare una o più DMZ o di creare zone segregate;
  • dove sono i dati e i sistemi che devono essere protetti;
  • quali sono le minacce ed eventuali pattern di attacco.

In merito al posizionamento, la scelta più obbligata è quella del firewall perimetrale, che costituisce il posizionamento tradizionale del firewall aziendale. Il firewall viene posizionato sul perimetro della rete aziendale con la finalità di proteggere la rete aziendale dagli attacchi provenienti dall’esterno.

Sebbene la presenza di un firewall perimetrale sia tuttora necessaria, si è presto visto come questo non sia sufficiente. Il fatto che sempre più servizi aziendali dovessero essere esposti su Internet, ha fatto nascere l’esigenza di una DMZ, una rete ove vengono posizionati i sistemi esposti su Internet e isolata il più possibile dalla rete interna, in modo che eventuali compromissioni di tali sistemi non avessero ricadute immediate sui sistemi interni.

La DMZ è stata una prima forma di segmentazione, spesso ottenuta attraverso il firewall perimetrale stesso.

Oggi la necessità di segmentare le reti differenziando sistemi e ambienti con diversi requisiti di sicurezza è ben presente in tutte le realtà aziendali. Di solito si soddisfa questa esigenza mantenendo il firewall perimetrale e aggiungendo uno o più firewall per le reti interne. In uno scenario di questo tipo è auspicabile aggiungere la protezione dei singoli host mediante firewall personale.

La figura seguente mostra un possibile esempio di implementazione della segmentazione delle reti.

Infine, i nuovi paradigmi di virtualizzazione della sicurezza e della Security as a Service danno la possibilità di estremizzare il concetto di segmentazione, arrivando anche al singolo host: in questi casi si parla di micro segmentazione.

Un altro aspetto da considerare è quello dell’integrazione dei firewall aziendali con gli altri sistemi di sicurezza.

Abbiamo visto come i firewall rappresentino strumenti importanti nella protezione della rete, ma da soli non bastino a rendere sicuro un ambiente. L’ambiente deve quindi essere pensato come un tutt’uno, tutti i possibili rischi devono essere considerati e il firewall rientra in un contesto di protezione più ampio.

In questo scenario un aspetto importante è quello della comunicazione e cooperazione fra i vari dispositivi di sicurezza.

Tradizionalmente ogni tipologia di dispositivo svolgeva il suo compito senza considerare gli altri dispositivi di tipologia e/o vendor diversi. In realtà sarebbe molto più efficace se i dispositivi fossero in grado di comunicare tra loro le informazioni sulle minacce e gli attacchi in corso e di cooperare per neutralizzarli.

Si pensi ad uno scenario dove un NGFW riconosce il download di malware da parte di un utente: sarebbe di grande aiuto se questa informazione fosse passata al software antimalware, in grado a quel punto di riconoscere lo stesso malware eventualmente già presente sulle postazioni di lavoro.

Se il NGFW è stato un primo passo in questo senso, visto che i diversi componenti risiedono in un unico apparato e sono fortemente integrati, ulteriori passi avanti sono stati fatti nella comunicazione e cooperazione fra apparati diversi di uno stesso vendor o all’utilizzo di informazioni provenienti da apparati dello stesso vendor installati in tutto il mondo.

Più difficoltosa è la cooperazione fra apparati di vendor diversi, a causa della mancanza di standard condivisi o dalle logiche di mercato che non stimolano i vendor a investire in questo senso.

Conclusioni

I firewall continuano a rappresentare un componente importante della sicurezza aziendale, sebbene non ne siano più il pilastro. Nel corso degli anni i firewall hanno infatti continuato ad evolvere per tenere conto delle diverse minacce che sono apparse.

Nel contesto attuale è importante valutare le tipologie di firewall più adatte all’azienda, valutando anche la loro collocazione, la capacità di integrazione e comunicazione con gli altri dispositivi di sicurezza aziendale in base alle necessità di protezione dell’azienda, alle dimensioni, alla topologia della rete aziendale. Infine, sebbene la presenza di uno o più firewall sia imprescindibile per l’azienda, come misura aggiuntiva è bene non trascurare la possibilità di attivare e utilizzare i firewall personali sia sui server che sulle postazioni di lavoro.

Share on facebook
Share on linkedin
Share on whatsapp
Share on twitter
Share on pinterest