Ogni rete è costituita da dati in entrata e in uscita. Per assicurare che il traffico in transito sia legittimo, entrano in gioco i firewall.
Possiamo immaginarli proprio come una barriera selettiva che è capace di bloccare il traffico anomalo.
Andiamo a vedere da vicino cosa sono i firewall, cosa c’è dietro il loro funzionamento e quali tipi di firewall esistono.
Iniziamo!
Table of Contents
Cos’è un firewall
Un firewall è un sistema di sicurezza che effettua dei controlli in modo da monitorare e filtrare il traffico verso una rete privata o un singolo dispositivo.
I firewall possono essere applicazioni software installate in un singolo computer, oppure componenti hardware che proteggono un’intera rete.
La parola firewall viene dal termine utilizzato per indicare una barriera capace di fermare la propagazione degli incendi. In maniera analoga, quindi, il firewall può essere immaginato proprio come una barriera capace di limitare le minacce della rete.
È importante capire che lo scopo dei firewall non è quello di costituire una barriera che nessun dispositivo possa attraversare. Piuttosto questi sistemi funzionano come filtro che consente il traffico attendibile, ma blocca quello pericoloso.
Vediamo quali sistemi utilizza per riconoscere il traffico.
Come funziona un firewall
I firewall formano una barriera tra la rete esterna o pubblica e la rete interna o il dispositivo che proteggono.
La base del sistema di protezione dei firewall è quella di ispezionare tutto il traffico in ingresso e in uscita dalla rete. Questo traffico viene filtrato grazie a una serie di regole (o policy) che permettono di distinguere il traffico attendibile da quello dannoso.
Le regole del firewall possono seguire due tipi di principi.
Default-deny: con questo criterio si creano delle regole per determinare i pacchetti che sono permessi, tutti gli altri vengono vietati.
Default-allow: vengono create regole specifiche per i pacchetti che devono essere vietati, tutto il resto è consentito.
Le regole che vengono applicate possono basarsi su diversi fattori, anche combinati tra loro.
- Origine e destinazione della connessione.
- Contenuto.
- Protocolli usati.
A cosa servono i firewall
I firewall consentono di limitare le minacce informatiche. Vediamo alcuni esempi pratici.
Attacchi DDoS
Gli attacchi DDoS prevedono l’invio di richieste da centinaia o migliaia di fonti con l’obiettivo di mandare fuori servizio il sistema che è stato preso di mira.
Come interviene il firewall: i firewall possono evitare questi attacchi intervenendo prima che la portata dell’attacco raggiunga un livello critico.
Traffico spam
In questa categoria rientra tutto il traffico inutile e malevolo, può anche portare ad attacchi malware o tentativi di intrusione attraverso il traffico email.
Come interviene il firewall: filtrando in maniera efficace il traffico, si blocca alla fonte lo spam.
Accessi non autorizzati
Con i firewall si possono creare delle regole rigorose per identificare gli utenti e i dispositivi consentiti. In questo modo si limitano gli accessi non autorizzati.
Allo stesso modo con un firewall si può garantire l’accesso sicuro ad una rete anche in remoto, ad esempio tramite una VPN.
Applicazioni e porte
I firewall possono essere impostati per verificare quali applicazioni sono state avviate e quali porte stanno utilizzando.
Spesso, infatti, gli utenti malintenzionati possono sfruttare falle e backdoor per inviare malware e prendere il controllo di determinati processi o comportamenti delle porte.
Accesso alla rete esterna
All’interno delle aziende, i firewall possono essere utilizzati per filtrare anche il traffico in uscita.
Ad esempio si possono configurare per impedire l’accesso a determinati siti web e monitorare quindi la navigazione su Internet dei proprio dipendenti.
Traffico in ingresso
I firewall possono filtrare il traffico in ingresso diretto alla rete che proteggono in base a diversi fattori.
Un esempio può essere un firewall configurato in modo da bloccare alcuni IP. Per esempio si può impedire l’accesso filtrando in base agli IP di un determinato paese.
Tipi di firewall
I firewall possono essere suddivisi in base al tipo di protezione che offrono se destinati a un intera rete oppure a un singolo dispositivo (host).
Un altro metodo per classificare questi sistemi è prendere in considerazione il modo con cui filtrano il traffico. In questo caso si possono riconoscere diversi tipi, tra cui:
- Packet filter firewall.
- Stateful firewall.
- Proxy firewall.
- Next-generation firewall.
- Web application firewall.
Andiamo a scoprire che differenze ci sono tra questi diversi sistemi.
Packet filter firewall
I packet filter firewall, come suggerisce il nome stesso, si basano sul filtraggio dei pacchetti.
In questo caso ogni singolo pacchetto in transito viene analizzato in maniera isolata. Questo significa che il firewall non terrà in considerazione i pacchetti precedenti.
Per ogni singolo pacchetto vengono quindi controllati:
- indirizzo IP di origine e destinazione;
- porta di origine e di destinazione e protocollo utilizzato.
Questi dati vengono analizzati in base alle regole del firewall e filtrati di conseguenza in traffico accettato e traffico bloccato.
I firewall di questa categoria applicano un tipo di filtraggio semplice, ma non possono assicurare un livello di sicurezza elevato.
Il rischio maggiore, infatti, è dato dagli attacchi di IP spoofing. Con questo metodo un attaccante può infatti modificare l’indirizzo IP di origine con un indirizzo consentito dal firewall per superare le regole di sicurezza.
Stateful firewall
Gli stateful firewall hanno un funzionamento simile a quello dei packet filter, tuttavia aggiungono degli elementi di verifica ulteriori. Questi firewall riescono, infatti, a monitorare lo stato delle connessioni TCP.
La sicurezza viene garantita controllando il protocollo di connessione per capire se la sessione è da considerarsi affidabile.
In questo modo i pacchetti vengono filtrati in base allo stato della connessione e si possono evitare gli attacchi IP spoofing di cui abbiamo parlato prima.
Proxy firewall
I proxy firewall o application firewall funzionano esaminando i pacchetti a livello della singola applicazione.
In questo caso il firewall analizza anche il contenuto (il cosiddetto payload) del pacchetto trasmesso. Così facendo il sistema può riconoscere i pacchetti validi da quelli ingannevoli.
Tra le potenzialità di questi tipi di firewall c’è anche la possibilità di individuare e bloccare gli utilizzi impropri di specifici protocolli (tra cui FTP e HTTP).
Next-generation firewall
In questa categoria rientrano i firewall che combinano diversi metodi di sicurezza in modo da ridurre le carenze dei singoli tipi di firewall che abbiamo esaminato.
Ad esempio possono combinare sistemi di filtraggio che analizzano i pacchetti a livello di applicazione, avere funzioni di blocco di URL e supportare sistemi di NAT e VPN.
Web application firewall
I firewall possono essere utilizzati per proteggere le reti private o i singoli dispositivi dalle minacce della rete.
I web application firewall (WAF), invece proteggono siti o servizi web monitorando il traffico HTTP in entrata e in uscita.
In pratica agiscono in senso contrario, infatti, vengono anche chiamati reverse proxy.
Un proxy firewall, come abbiamo visto prima, protegge la rete o il singolo client. Il proxy inverso, invece, protegge il server dalle minacce esterne nascondendone anche l’indirizzo IP.
Tra i diversi tipi di attacco che questi firewall possono bloccare ci sono gli attacchi cross-site-scripting (XSS).
Curiosità: gli attacchi XSS sono tra le vulnerabilità di WordPress più sfruttate. Scopri altre interessanti statistiche su WordPress.
Come sono nati e si sono evoluti i firewall?
I primi firewall risalgono agli anni ’80. Per la precisione la prima tipologia di firewall era di tipo packet filter, che come abbiamo visto è uno dei sistemi più semplici di filtraggio.
Nel 1988 il primo firewall di questo tipo fu sviluppato dalla DEC (Digital Equipment Corporation). Il sistema si basava sul controllo dei pacchetti in base alle informazioni su IP, porte e protocolli utilizzati.
Il passo successivo si concretizzò tra il 1989 e il 1990 grazie al lavoro dell’AT&T Bell Laboratories che portò allo sviluppo dei primi stateful firewall. Questi firewall non si limitavano a verificare i singoli pacchetti, ma controllavano anche le sessioni e lo stato delle connessioni.
Il primo firewall a livello di applicazione è stato creato nel 1991 dai ricercatori della DEC. E poi, nel 1993, la Trusted Information Systems ha rilasciato il primo firewall open source.
Conclusioni
Abbiamo visto l’importanza dei firewall, il loro funzionamento e i principali usi.
Come hai potuto vedere, nel tempo sono stati sviluppati sistemi di sicurezza sempre più avanzati per contrastare le minacce del web. I firewall sono, infatti, un ottimo strumento sia per proteggere le reti private che i server che ospitano i siti web.
Conoscevi già l’importanza dei firewall? Facci sapere con un commento.
Lascia un commento