Il firewall è un sistema di sicurezza informatica che protegge una rete o un computer da accessi non autorizzati e minacce esterne. Utilizzato come prima linea di difesa, il firewall analizza e filtra il traffico di dati che entra ed esce da una rete, permettendo solo il passaggio di quello considerato sicuro. Questa soluzione tecnologica è diventata cruciale per garantire la sicurezza delle informazioni sensibili, sia per le aziende che per gli utenti privati. In questo articolo esploreremo i diversi tipi di firewall e il loro funzionamento, nonché i vantaggi e i dettagli importanti per la scelta e l’implementazione di un firewall efficace.
Esistono due tipologie principali di firewall
I firewall hardware sono dispositivi dedicati che agiscono come punto di filtraggio tra la rete interna e quella esterna. Sono progettati per gestire grandi quantità di traffico e offrono prestazioni elevate e affidabili. Possono essere installati come componente separato o integrato in un router o uno switch. I firewall hardware sono ideali per le grandi aziende che hanno bisogno di proteggere reti complesse e possono sostenere i costi di un sistema di sicurezza dedicato.
I firewall software sono programmi installati su computer o server, che eseguono le stesse funzioni di un firewall hardware, ma utilizzano la potenza di elaborazione del computer su cui sono installati. Sono generalmente più economici e flessibili rispetto ai firewall hardware, ma possono influire sulle prestazioni del computer e possono essere meno affidabili. Sono più adatti per gli utenti privati o per le piccole aziende che non hanno bisogno di proteggere grandi reti.
Esistono inoltre firewall ibridi che combinano le caratteristiche di entrambi i tipi di firewall. Questi dispositivi uniscono l’affidabilità dei firewall hardware con la flessibilità dei firewall software.
Per analogia
Un firewall può essere visto come una sorta di guardia o custode per la sicurezza della rete o dei computer. Analogamente a un guardiano che controlla l’accesso a un edificio, un firewall controlla gli accessi, permettendo solo il traffico autorizzato e bloccando quello non autorizzato.
Inoltre, come un guardiano che verifica l’identità dei visitatori per garantire che solo le persone autorizzate entrino nell’edificio, un firewall verifica il traffico in entrata e in uscita per garantire che solo al traffico autorizzato sia permesso di entrare o uscire dalla rete o dal computer.
Come opera un firewall
I computer e gli altri dispositivi endpoint utilizzano le reti per connettersi a Internet e tra di loro. La rete, a sua volta, è divisa in sottoreti per motivi di sicurezza e privacy. Le sottoreti base sono:
- Reti pubbliche esterne: si riferiscono generalmente a Internet pubblico o ad extranet.
- Reti interne private: includono reti domestiche, Intranet aziendali e altre reti private.
- Reti di perimetro: descrivono reti di confine composte da cosiddetti bastion hosts, sistemi con controlli di sicurezza rafforzati, pronti a gestire eventuali minacce esterne. Queste reti possono fungere da barriera di sicurezza tra reti interne ed esterne, e ospitare servizi che debbano essere esposti pubblicamente come, ad esempio, server web, posta elettronica, FTP, VoIP. Sono più sicure rispetto alle reti esterne, ma meno rispetto a quelle interne. Queste reti non sono sempre presenti in reti semplici come quelle domestiche, ma spesso vengono utilizzate in Intranet aziendali.
Gli screening routers sono gateway specializzati, posizionati su una rete per segmentarla. I due modelli di segmento più comuni sono lo screened host firewall e lo screened subnet firewall.
Il primo usa un singolo screening router tra rete esterna e interna. In questo modello tali reti sono le due subnet.
Lo screened subnet firewall usa due router di screening, uno di accesso tra la rete esterna e quella di perimetro e l’altro, definito choke router, tra la rete di perimetro e quella interna. Ciò definisce tre subnet.
Come funziona il filtraggio di un firewall
I filtri operati da un firewall sono una componente chiave per la protezione della rete e funzionano analizzando ogni pacchetto di dati che entra o esce dalla rete. Tali filtri sono basati su regole di sicurezza predefinite, che il firewall utilizza per determinare se un pacchetto di dati deve essere bloccato o consentito.
Le regole di sicurezza possono basarsi su una o più delle seguenti informazioni presenti all’interno del pacchetto di dati:
- Indirizzo IP di origine e di destinazione: Il firewall può utilizzare queste informazioni per determinare se il pacchetto proviene da una fonte affidabile o meno.
- Protocollo di comunicazione: Il firewall utilizza questa informazione per determinare il tipo di pacchetto di dati, ad esempio se è un pacchetto di dati di rete, di trasporto o di applicazione.
- Porta utilizzata: Il firewall utilizza questa informazione per determinare il tipo di servizio o di applicazione che sta utilizzando il pacchetto di dati.
- Contenuto del pacchetto: Il firewall può utilizzare tecniche di filtraggio dei contenuti per analizzare il contenuto effettivo del pacchetto di dati e determinare se è sicuro o meno.
Inoltre, il firewall può utilizzare tecniche avanzate di sicurezza, come il rilevamento delle intrusioni (IDS), la prevenzione delle intrusioni (IPS) e la crittografia del traffico, per identificare e prevenire eventuali minacce alla rete.
Quanti tipi di firewall esistono?
Un firewall Static Packet-Filtering è un dispositivo di sicurezza di rete che controlla il flusso di pacchetti di dati che entrano e lasciano una rete. Questo tipo di firewall è basato su regole predefinite che stabiliscono quale traffico può passare e quale no. Le regole sono create manualmente dall’amministratore di rete e non cambiano dinamicamente in base all’attività della rete. Il filtraggio avviene in base all’indirizzo IP sorgente, destinazione, porta e protocollo. Questo tipo di firewall è più semplice da configurare rispetto ai firewall dinamici, ma è meno flessibile e può essere bypassato da attacchi avanzati.
Un firewall a livello di circuito (circuit-level gateway firewall) è un tipo di firewall che controlla le connessioni di rete invece che i singoli pacchetti di dati. Questo tipo di firewall valuta l’integrità di una connessione verificando la presenza di una sessione valida tra due host prima di consentire il traffico. Una volta che una connessione è stabilita e verificata, il firewall consente il traffico senza ulteriori controlli sui singoli pacchetti. Questo tipo di firewall è utile per prevenire attacchi che mirano a sfruttare vulnerabilità a livello di applicazione, come lo spoofing IP o gli attacchi DoS, ma non protegge contro gli attacchi a livello di pacchetto. Il firewall a livello di circuito è più veloce rispetto ai firewall Static Packet-Filtering, ma offre meno protezione rispetto ai firewall di applicazione.
Un firewall con ispezione di stato (stateful inspection firewall) è un tipo di firewall che controlla il flusso di pacchetti di dati sulla base dello stato della connessione di rete. Questo tipo di firewall valuta non solo i singoli pacchetti, ma anche le connessioni tra host e tiene traccia dello stato delle connessioni valide. Il firewall con ispezione di stato verifica se un pacchetto appartiene a una connessione valida e se soddisfa le regole di sicurezza stabilite, prima di consentirne il passaggio. E’ più avanzato rispetto ai firewall a livello di circuito e Static Packet-Filtering, poiché offre una maggiore protezione contro gli attacchi a livello di pacchetto e a livello di applicazione. Tuttavia, richiede una maggiore capacità di elaborazione e configurazione rispetto ai firewall più semplici.
Un firewall proxy è un tipo di firewall che agisce come intermediario tra l’interno della rete protetta e l’esterno. Quando un host all’interno della rete invia una richiesta a un host esterno, il firewall proxy funge da intermediario, ricevendo tale richiesta e inviandola all’esterno. La risposta viene quindi ricevuta dallo stesso proxy, che la inoltra all’host interno. Questo tipo di firewall offre una maggiore sicurezza rispetto ai firewall di Static Packet-Filtering o di ispezione di stato poiché nasconde l’architettura interna della rete e rende più difficile per gli aggressori individuare le vulnerabilità. Inoltre, i firewall proxy possono essere configurati per applicare filtri sul contenuto dei dati, come la censura di siti web o la rimozione di virus, prima di inoltrare i dati all’host interno. Tuttavia, i firewall proxy richiedono una maggiore capacità di elaborazione e possono rallentare le prestazioni della rete a causa della attività di intermediazione effettuata.
Un next-generation firewall (NGFW) è un tipo avanzato di firewall che combina diverse tecnologie di sicurezza per offrire una maggiore protezione alle reti. Un NGFW include caratteristiche come il filtraggio pacchetti statico, l’ispezione di stato, il proxy e altre funzionalità avanzate come la sicurezza delle applicazioni, la prevenzione delle minacce e la sicurezza degli account. Un NGFW è in grado di identificare e bloccare minacce specifiche, come malware, attacchi DDoS e intrusioni, utilizzando tecniche di analisi in tempo reale come quella basata sul comportamento, l’apprendimento automatico e la rilevazione di minacce avanzate. Inoltre, un NGFW offre una maggiore visibilità e controllo sul traffico di rete e sul comportamento degli utenti, consentendo una maggiore flessibilità. Tuttavia, un NGFW richiede una maggiore capacità di elaborazione e configurazione rispetto ai firewall più semplici.
Un po’ di storia
La storia dei firewall inizia negli anni ’80, quando le reti di computer sono diventate sempre più comuni e la sicurezza dei dati è diventata una preoccupazione cruciale. All’epoca, la maggior parte delle reti erano costituite da computer mainframe e minicomputer che scambiavano informazioni attraverso moduli di comunicazione come terminali e schede di rete.
Gli sviluppatori che hanno contribuito alla creazione dei primi firewall hanno aperto la strada a una tecnologia che oggi è essenziale per la sicurezza delle reti e dei dati.
Nel 1987, un gruppo di sviluppatori del Digital Equipment Corporation, disegnò un primo sistema basato sul filtraggio dei pacchetti.
Il primo firewall basato su tale concetto fu proposto da William Cheswick e Steven Bellovin, due ricercatori del Bell Labs. Cheswick e Bellovin disegnarono un dispositivo per filtrare il traffico di rete e impedire accessi non autorizzati. La loro idea originale era di creare un sistema che fosse in grado di filtrare il traffico di rete basandosi sulle informazioni contenute nei pacchetti.
Successivamente, nel 1993, ricercatori della Trusted Information Systems (TIS), crearono un firewall open source basato sul filtraggio di pacchetti chiamato “Firewall Toolkit (FWTK)”. Il FWTK fu progettato per filtrare il traffico in entrata e in uscita da una rete, utilizzando un insieme di regole e politiche di sicurezza definite dall’amministratore di rete.
Possiamo fare a meno dei firewall?
I firewall sono un elemento fondamentale ed essenziale per la difesa delle reti moderne. Con l’aumento delle minacce online e l’evoluzione della tecnologia, la sicurezza delle reti è diventata una preoccupazione cruciale per molte organizzazioni. I firewall offrono un livello di protezione affidabile e personalizzabile contro gli attacchi, proteggendo le informazioni sensibili e le risorse di rete.
Inoltre, con la crescente diffusione del cloud computing e delle reti IoT, i firewall sono diventati ancora più importanti per garantire la sicurezza dei dati. Con la vasta gamma di soluzioni disponibili, le organizzazioni possono scegliere il tipo di firewall più adatto alle loro esigenze, dai firewall di filtraggio pacchetti a quelli next-generation.
