Tutti comprendono la funzione di base di un firewall: proteggere la rete da malware e accessi non autorizzati. Ma i dettagli esatti di come funzionano i firewall sono meno conosciuti.
Che cos'è esattamente uno firewall? Come funzionano i diversi tipi di firewall? E, cosa forse più importante, quale tipo di firewall è il migliore?
Firewall 101
In poche parole, un firewall è solo un altro endpoint di rete. Ciò che lo rende speciale è la sua capacità di intercettare e scansionare il traffico in entrata prima che entri nella rete interna, impedendo ad autori malintenzionati di accedervi.
Verificare l'autenticazione di ciascuna connessione, nascondere l'IP di destinazione agli hacker e persino scansionare il contenuto di ciascun pacchetto di dati: i firewall fanno tutto. Un firewall funge da sorta di punto di controllo, controllando attentamente il tipo di comunicazione che viene lasciata entrare.
Firewall con filtro dei pacchetti
I firewall con filtro dei pacchetti sono la tecnologia firewall più semplice e meno dispendiosa in termini di risorse disponibile. Sebbene al giorno d'oggi siano in disuso, rappresentavano l'elemento base della protezione della rete nei vecchi computer.
Un firewall di filtraggio dei pacchetti opera a livello di pacchetto, scansionando ogni pacchetto in entrata dal router di rete. Ma in realtà non esegue la scansione del contenuto dei pacchetti di dati, ma solo delle loro intestazioni. Ciò consente al firewall di verificare metadati come indirizzi di origine e destinazione, numeri porta, ecc.
Come potresti sospettare, questo tipo di firewall non è molto efficace. Tutto ciò che un firewall di filtraggio dei pacchetti può fare è ridurre il traffico di rete non necessario in base all'elenco di controllo degli accessi. Poiché il contenuto del pacchetto non viene controllato, il malware può comunque passare.
Gateway a livello di circuito
Un altro modo efficiente in termini di risorse per verificare la legittimità delle connessioni di rete è un gateway a livello di circuito. Invece di controllare le intestazioni dei singoli pacchetti di dati, un gateway a livello di circuito verifica la sessione stessa.
Ancora una volta, un firewall come questo non attraversa il contenuto della trasmissione stessa, rendendolo vulnerabile a una serie di attacchi dannosi. Detto questo, la verifica delle connessioni TCP (Transmission Control Protocol) dal livello sessioni del modello OSI richiede pochissime risorse e può effettivamente interrompere le connessioni di rete indesiderate..
Questo è il motivo per cui i gateway a livello di circuito sono spesso integrati nella maggior parte delle soluzioni di sicurezza di rete, in particolare nei firewall software. Questi gateway aiutano anche a mascherare l'indirizzo IP dell'utente creando connessioni virtuali per ogni sessione.
Firewall Stateful Inspection
Sia il firewall di filtraggio dei pacchetti che il gateway a livello di circuito sono implementazioni di firewall stateless. Ciò significa che operano secondo un insieme di regole statiche, limitando la loro efficacia. Ogni pacchetto (o sessione) viene trattato separatamente, il che consente di effettuare solo controlli molto elementari.
Un firewall Stateful Inspection, invece, tiene traccia dello stato della connessione, insieme ai dettagli di ogni pacchetto trasmesso attraverso di essa. Monitorando l'handshake TCP per tutta la durata della connessione, un firewall di ispezione con stato è in grado di compilare una tabella contenente gli indirizzi IP e i numeri di porta dell'origine e della destinazione e abbinare i pacchetti in entrata con questo set di regole dinamiche.
Grazie a questo, è difficile introdurre pacchetti di dati dannosi oltre il firewall Stateful Inspection. D'altro canto, questo tipo di firewall comporta un costo in termini di risorse più elevato, rallentando le prestazioni e creando un'opportunità per gli hacker di utilizzare attacchi DDoS (Distributed Denial-of-Service) contro il sistema.
Firewall proxy
Meglio conosciuti come gateway a livello di applicazione, i firewall proxy operano al livello frontale del modello OSI: il livello dell'applicazione. Essendo lo strato finale che separa l'utente dalla rete, questo livello consente il controllo più approfondito e costoso dei pacchetti di dati, a scapito delle prestazioni.
Simile ai gateway a livello di circuito, i firewall proxy funzionano intercedendo tra l'host e il client, offuscando gli indirizzi IP interni delle porte di destinazione. Inoltre, i gateway a livello di applicazione eseguono un'ispezione approfondita dei pacchetti per garantire che non possa passare traffico dannoso.
Tutte queste misure, se da un lato aumentano significativamente la sicurezza della rete, dall'altro rallentano anche il traffico in entrata. Le prestazioni della rete subiscono un duro colpo a causa dei controlli ad alta intensità di risorse condotti da un firewall stateful come questo, rendendolo inadeguato per le applicazioni sensibili alle prestazioni..
Firewall NAT
In molte configurazioni informatiche, il fulcro della sicurezza informatica è garantire una rete privata, nascondendo i singoli indirizzi IP dei dispositivi client sia agli hacker che ai fornitori di servizi. Come abbiamo già visto, ciò può essere ottenuto utilizzando un firewall proxy o un gateway a livello di circuito.
Un metodo molto più semplice per nascondere gli indirizzi IP consiste nell'utilizzare un firewall NAT (Network Address Translation). I firewall NAT non richiedono molte risorse di sistema per funzionare, il che li rende il punto di passaggio tra i server e la rete interna.
Firewall di applicazioni Web
Solo i firewall di rete che operano a livello di applicazione sono in grado di eseguire la scansione approfondita dei pacchetti di dati, come un proxy firewall o, meglio ancora, un Web Application Firewall (WAF).
Operando dall'interno della rete o dell'host, un WAF esamina tutti i dati trasmessi dalle varie applicazioni web, assicurandosi che nessun codice dannoso passi. Questo tipo di architettura firewall è specializzata nell'ispezione dei pacchetti e fornisce una sicurezza migliore rispetto ai firewall a livello superficiale.
Firewall cloud
I firewall tradizionali, sia hardware che software, non si adattano bene. Devono essere installati tenendo presente le esigenze del sistema, concentrandosi su prestazioni ad alto traffico o bassa sicurezza del traffico di rete.
Ma i firewall cloud sono molto più flessibili. Distribuito dal cloud come server proxy, questo tipo di firewall intercetta il traffico di rete prima che entri nella rete interna, autorizzando ogni sessione e verificando ciascun pacchetto di dati prima di lasciarlo entrare.
L'aspetto migliore è che la capacità di tali firewall può essere aumentata o ridotta in base alle necessità, adattandosi ai diversi livelli di traffico in entrata. Offerto come servizio basato su cloud, non richiede hardware ed è gestito dal fornitore di servizi stesso.
Firewall di nuova generazione
Next Generation può essere un termine fuorviante. Tutte le industrie basate sulla tecnologia amano lanciare in giro parole d'ordine come questa, ma cosa significa veramente? Che tipo di funzionalità qualifica un firewall per essere considerato di nuova generazione?
In verità, non esiste una definizione rigorosa. In generale, è possibile considerare le soluzioni che combinano diversi tipi di firewall in un unico sistema di sicurezza efficiente come Next-Generation Firewall (NGFW). Un firewall di questo tipo è in grado di eseguire un'ispezione approfondita dei pacchetti e allo stesso tempo di ignorare gli attacchi DDoS, fornendo una difesa multilivello contro gli hacker..
La maggior parte dei firewall di nuova generazione spesso combina più soluzioni di rete, come VPN, sistemi di prevenzione delle intrusioni (IPS) e persino un antivirus in un unico potente pacchetto. L'idea è quella di offrire una soluzione completa che risolva tutti i tipi di vulnerabilità della rete, garantendo una sicurezza di rete assoluta. A tal fine, alcuni NGFW possono anche decrittografare le comunicazioni Secure Socket Layer (SSL), consentendo loro di notare anche gli attacchi crittografati.
Quale tipo di firewall è il migliore per proteggere la tua rete?
Il problema dei firewall è che diversi tipi di firewall utilizzano approcci diversi a proteggere una rete.
I firewall più semplici si limitano ad autenticare le sessioni e i pacchetti, senza fare nulla con i contenuti. I firewall gateway servono a creare connessioni virtuali e a impedire l'accesso a indirizzi IP privati. I firewall con stato tengono traccia delle connessioni tramite i loro handshake TCP, creando una tabella di stato con le informazioni.
Ci sono poi i firewall di nuova generazione, che combinano tutti i processi di cui sopra con l'ispezione approfondita dei pacchetti e una serie di altre funzionalità di protezione della rete. È ovvio dire che un NGFW fornirebbe al tuo sistema la migliore sicurezza possibile, ma non è sempre la risposta giusta.
A seconda della complessità della rete e del tipo di applicazioni eseguite, i tuoi sistemi potrebbero trovarsi meglio con una soluzione più semplice che protegga invece dagli attacchi più comuni. L'idea migliore potrebbe essere quella di utilizzare semplicemente un servizio firewall cloud di terze parti, scaricando la messa a punto e la manutenzione del firewall al fornitore del servizio.
.