Quando si parla di protezione di una rete (aziendale, tipicamente; ma vale anche per quelle casalinghe), il primo elemento che si considera è il firewall, che letteralmente significa “muro di fuoco”: nome che già evoca un qualcosa di impenetrabile. In realtà non è la totale impenetrabilità lo scopo di un firewall, ma quello di filtrare il traffico di rete indesiderato. Tipicamente viene usato per separare una rete (che definiamo “interna”, e sotto il nostro controllo) con il mondo esterno (normalmente internet, ma comunque qualsiasi cosa che non è sotto il nostro controllo).
Come funziona
Ogni comunicazione di dati tra due dispositivi è logicamente individuata come una connessione, che possiamo pensare come indipendente da tutte le altre eventualmente attive. Senza entrare troppo nei dettagli, le propietà di una connessione sono: il protocollo di trasporto usato (es. TCP, UDP, ICMP); l’indirizzo di partenza; l’indirizzo di arrivo; la porta di partenza; la porta di arrivo. Gli indirizzi individuano i singoli computer (o altri apparati); le porte, gli specifici servizi all’interno del singolo computer/apparato. Parlando di partenza ed arrivo, si intende rispetto a chi richiede di iniziare la comunicazione; una volta instaurata, la connessione comprende sempre comunicazioni bidirezionali.
Il firewall fa da filtro alle connessioni: secondo una serie di regole, verifica che la connessione sia abilitata, altrimenti la blocca. In questo caso, chi ha richiesto la connessione attende finché non riceve un errore; il destinatario, non verrà mai a conoscenza di essere stato oggetto di quel tentaivo.
Le regole sono composte da combinazioni delle proprietà suddette: protocollo, indirizzi, porte. Questo tipo di filtraggio non tiene in nessun conto i dati contenuti nella comunicazione; questo tipo di filtraggi possono essere fatti ma con altri sistemi (nulla però vieta che questi coesistano con il firewall su un unico apparato fisico).
Tipologie di firewall
Un firewall è sempre composto da un computer con più interfacce di rete e un software. Se tale computer, ed il software che ci gira sopra, sono progettati appositamente per questo scopo, il firewall è detto di tipo hardware. In alternativa, si può utilizzare un computer normale su cui si istalla un software apposito, ed in queso caso, si dice firewall software. Il secondo è normalmente meno efficiente del primo (più costoso) semplicemente perché non è ottimizzato per quella funzione; ma la sua bontà, in termini di sicurezza, dipende esclusivamente dalla correttezza del software e delle regole.
Quando si parla di firewall software, si può fare un’ulteriore distinzione: esso può essere un apparato dedicato (cioè esegue esclusivamente il software del firewall), oppure può essere su un apparato che esegue tanti altri servizi generici. In questo caso la differenza è sostanziale: il primo permette di proteggere un’intera rete e di poter essere escluso in caso di necessità, isolando completamente la rete ma non impedendo che gli altri servizi continuino a funzionare; il secondo protegge esclusivamente l’apparato stesso, ed in caso di necessità l’esclusione comporta il fermo anche degli altri servizi.
I firewall di tipo software ormai si trovano dappertutto: sui computer normali (inclusi gli smartphone) come servizi appositi del sistema operativo o come moduli dell’antivirus; sui router per l’accesso ad internet, etc.
Da qualche anno esiste una terza possibilità: il cloud firewall (o anche Firewall as a Service), cioè un firewall virtuale fornito da qualche provider. In questo caso, il router del collegamento internet veicola tutto il traffico solo ed esclusivamente verso tale firewall, che poi fa il consueto lavoro sopra descritto.
Le impostazioni base
Lo scopo ultimo di un firewall è quello di proteggere ciò che è sotto il nostro controllo da quello che non lo è, impedendo le connessioni indesiderate. Quindi la prima impostazione basilare è di bloccare tutte le connessioni provenienti dall’esterno.
Le connessioni provenienti dall’interno verso l’esterno vengono normalmente tutte abilitate (altrimenti il firewall isolerebbe completamente interno ed esterno). In passato questo non era un problema, perché tutte le connessioni dall’interno era scontato fossero desiderate; oggi non è più così (molti virus funzionano con un primo programma che ha l’unico scopo di scaricare altri programmi malevoli). Per cui è bene che anche le connessioni dall’interno verso l’esterno siano bloccate, e si lavori poi con le eccezioni (lavoro purtoppo piuttosto lungo e complesso).
Qualora necessario, è possibile impostare eccezioni anche per le connessioni provenienti dall’esterno, ma è vivamente sconsigliato, poiché anche un “buco” puntuale può essere individuato e sfruttato dagli hacker per aggirare le difese del firewall.
Altre funzionalità
Finora si è considerato il caso semplice di separazione di una zona definita “interna” da una “esterna”; in realtà è possibile definire altre zone (normalmente corrispondenti a interfacce fisiche di rete presenti sull’apparato), che hanno il nome di DMZ (acronimo di DeMilitarized Zone). Tra le varie zone si impostano poi le regole di filtraggio come prima detto (ovviamente ciò comporta un aumento della complessità generale). Il loro scopo è compartimentare i dispositivi secondo livelli di sicurezza equivalenti.
Inoltre, spesso è disponibile un servizio di VPN (Virtual Private Network): esso permette a computer/apparati presenti nella zone esterne (tipicamente: smartphone e portatili fuori dell’azienda ma connessi ad internet tramite reti pubbliche) di instaurare un collegamento crittografato con il firewall, che lo fa diventare logicamente parte di una zona interna. In questo modo, a tale dispositivo si applicano le regole relative alle zone interne (normalmente più permissive) invece che a quelle esterne (necessariamente più restrittive).
Infine, è possibile impostare priorità e limiti di banda (QoS, Quality of Service) per certi tipi di connessione, allo scopo di ottimizzare il traffico per favorire i servizi più importanti.
Conclusioni e consigli
L’utilizzo di un firewall è indispensabile in ogni contesto, per prevenire intrusioni ma anche e forse soprattutto furti di dati; tuttavia, non bisogna illudersi che sia sufficiente. Intanto la bontà di un firewall corrisponde a quella delle regole definite (e questa a sua volta corrisponde al livello di competenze di chi le imposta ed alla situazione generale della rete); ma comunque esso fa solo una parte del lavoro, è poi necessario effettuare ulteriori filtraggi sui contenuti delle connessioni stesse.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
