Firewall che cos’è: saperne di più!

    0
    31

    Se usi internet da un po’, e specialmente se lavori in una grande azienda e navighi sul web mentre sei al lavoro, probabilmente hai sentito usare il termine firewall. Per esempio, spesso senti le persone nelle aziende dire cose come: «Non posso usare questo sito perché non lo lasciano passare attraverso il firewall».

    Vedi anche Cos’è un Hardware!

    Inoltre, se hai una connessione Internet veloce nella tua casa (una connessione DSL o un modem via cavo), potresti aver sentito parlare di firewall anche per la tua rete domestica. Si scopre che una piccola rete domestica ha molti degli stessi problemi di sicurezza di una grande rete aziendale. Pertanto, puoi utilizzare un firewall per proteggere la tua rete domestica e la tua famiglia da siti web offensivi e potenziali hacker.

    Fondamentalmente, un firewall è una barriera per tenere le forze distruttive lontane dalla tua proprietà. Infatti, è per questo che si chiama firewall.  Il suo lavoro è simile ad un firewall fisico (pompiere) che impedisce ad un incendio di diffondersi da una zona all’altra. Quindi, leggendo questo articolo, imparerai di più sui firewall, come funzionano e da quali tipi di minacce possono proteggerti.

    Cos’è un firewall?

    Un firewall è un sistema che fornisce sicurezza alla rete filtrando il traffico di rete in entrata e in uscita sulla base di un insieme di regole definite dall’utente. In generale, l’obiettivo di un firewall è quello di ridurre o eliminare il verificarsi di comunicazioni di rete indesiderate, pur permettendo a tutte le comunicazioni legittime di fluire liberamente. Nella maggior parte delle infrastrutture server, i firewall forniscono un livello essenziale di sicurezza che, combinato con altre misure, impedisce agli aggressori di accedere ai tuoi server in modo malevolo.

    Pacchetti di rete TCP

    Prima di discutere i diversi tipi di firewall, diamo una rapida occhiata a come appare il traffico di rete Transport Control Protocol (TCP).

    Il traffico di rete TCP si muove in una rete in pacchetti, che sono contenitori costituiti da un’intestazione di pacchetto – che contiene informazioni di controllo, come gli indirizzi di origine e destinazione e le informazioni sulla sequenza del pacchetto – e i dati (noti anche come carico utile). Mentre le informazioni di controllo in ogni pacchetto aiutano a garantire che i dati associati siano consegnati correttamente, gli elementi che contengono forniscono anche ai firewall una varietà di modi per abbinare i pacchetti alle regole del firewall.

    È importante notare che la ricezione corretta dei pacchetti TCP in entrata richiede che il ricevitore invii al mittente dei pacchetti di riconoscimento in uscita. La combinazione delle informazioni di controllo nei pacchetti in entrata e in uscita può essere utilizzata per determinare lo stato della connessione (ad esempio, nuova, stabilita, collegata) tra il mittente e il ricevitore.

    Tipi di firewall

    Discutiamo brevemente i tre tipi fondamentali di firewall di rete: filtraggio dei pacchetti (stateless), stateful e livello applicazione.

    Il filtraggio dei pacchetti, o firewall senza stato, funziona ispezionando i singoli pacchetti in modo isolato. Quindi, in quanto tali, non conoscono lo stato della connessione e possono solo permettere o negare i pacchetti basandosi sulle intestazioni dei singoli pacchetti.

    D’altra parte, i firewall statici sono in grado di determinare lo stato di connessione dei pacchetti, il che li rende molto più flessibili dei firewall senza stato. Funzionano raccogliendo i pacchetti correlati fino a quando lo stato della connessione può essere determinato prima che qualsiasi regola del firewall venga applicata al traffico.

    Infine, i firewall applicativi fanno un ulteriore passo avanti analizzando i dati trasmessi, il che permette al traffico di rete di essere abbinato alle regole del firewall specifiche per i singoli servizi o applicazioni. Inoltre, sono anche conosciuti come firewall basati su proxy.

    Oltre al software firewall, che è disponibile in tutti i sistemi operativi moderni, la funzionalità firewall può anche essere fornita da dispositivi hardware, come router o dispositivi firewall. La nostra discussione si concentrerà sui firewall software con stato che girano sui server che sono destinati a proteggere.

    Regole Firewall

    Come menzionato sopra, il traffico di rete che passa attraverso un firewall viene confrontato con delle regole per determinare se deve essere permesso o meno. Un modo semplice per spiegare come sono fatte le regole del firewall è mostrare alcuni esempi, quindi lo faremo ora.

    Esempio

    Supponiamo che tu abbia un server con questa lista di regole del firewall che si applicano al traffico in entrata:

    Accetta, Rifiuta o Elimina

    Nota che la prima parola in ognuno di questi esempi è «accetta», «rifiuta» o «elimina». Questo specifica l’azione che il firewall dovrebbe intraprendere se un certo traffico di rete corrisponde ad una regola. Accettare significa permettere al traffico di passare, rifiutare significa bloccare il traffico ma rispondere con un errore «irraggiungibile», e abbandonare significa bloccare il traffico e non inviare una risposta. Infine, il resto di ogni regola consiste nella condizione sotto la quale ogni pacchetto viene abbinato.

    Si scopre che il traffico di rete viene confrontato con una lista di regole del firewall in una sequenza, o catena, dal primo all’ultimo. Più specificamente, non appena una regola viene abbinata, l’azione associata viene applicata al traffico di rete in questione. Nel nostro esempio, se un impiegato della contabilità tentasse di stabilire una connessione SSH al server, verrebbe rifiutato in base alla regola 2, prima ancora che la regola 3 sia stata controllata. Un amministratore di sistema, tuttavia, verrebbe accettato perché corrisponderebbe solo alla regola 3.

    Default Policy

    È tipico che una catena di regole del firewall non copra esplicitamente tutte le condizioni possibili. Per questo motivo, le catene firewall dovrebbero sempre avere una politica predefinita specificata che consiste in una sola azione (accettare, rifiutare o scartare).

    Supponiamo che la politica predefinita per la catena di esempio sopra sia stata impostata su scartare. Se un qualsiasi computer al di fuori dell’ufficio tenta di stabilire una connessione SSH al server, il traffico verrà fermato perché non soddisfa le condizioni di nessuna regola.

    Se la politica predefinita fosse impostata su accetta, chiunque tranne i tuoi dipendenti non tecnici sarebbe in grado di stabilire una connessione a qualsiasi servizio aperto sul tuo server. Pertanto, questo sarebbe un esempio di firewall mal configurato perché tiene fuori solo un sottoinsieme dei tuoi dipendenti.

    Traffico in entrata e in uscita

    Poiché il traffico di rete, dal punto di vista di un server, può essere sia in entrata che in uscita, un firewall mantiene un insieme distinto di regole per entrambi i casi. In questo modo, il traffico che ha origine altrove, il traffico in entrata, è trattato diversamente dal traffico in uscita che il server invia. È tipico per un server permettere la maggior parte del traffico in uscita perché il server stesso è generalmente fidato. Ancora, il set di regole in uscita può essere utilizzato per prevenire comunicazioni indesiderate nel caso in cui un server sia compromesso da un aggressore o da un eseguibile maligno.

    Per massimizzare i benefici di sicurezza di un firewall, devi identificare tutti i modi in cui vuoi che gli altri sistemi interagiscano con il tuo server, creare regole che li permettano esplicitamente e poi eliminare tutto l’altro traffico. Pertanto, ricorda che le regole in uscita appropriate devono essere in atto affinché un server permetta a se stesso di inviare conferme in uscita a qualsiasi connessione in entrata appropriata. Inoltre, poiché un server ha tipicamente bisogno di avviare il proprio traffico in uscita per varie ragioni – per esempio, scaricare aggiornamenti o connettersi a un database – è importante includere anche questi casi nel tuo insieme di regole in uscita.

    Scrivere regole in uscita

    Supponiamo che il nostro firewall di esempio sia configurato per bloccare il traffico in uscita per default. Questo significa che le nostre regole di accettazione in entrata sarebbero inutili senza regole complementari in uscita.

    Per integrare le regole del firewall in entrata di esempio (1 e 3) nella sezione Regole del firewall e permettere una corretta comunicazione a quegli indirizzi e porte, potremmo usare queste regole del firewall in uscita:

    Quindi, nota che non abbiamo bisogno di scrivere esplicitamente una regola per il traffico in entrata che viene rifiutato (regola in entrata 2) perché il server non ha bisogno di stabilire o riconoscere quella connessione.

    Perché la sicurezza del firewall?

    Ci sono molti modi «creativi» che i criminali usano per accedere o abusare di computer non protetti:

    Accesso remoto

    Quando qualcuno può collegarsi al tuo computer e controllarlo in qualche modo. Questo può andare dalla possibilità di visualizzare o accedere ai tuoi file all’esecuzione di programmi sul tuo computer.

    Applicazioni Backdoors

    Alcuni programmi hanno caratteristiche speciali che permettono l’accesso remoto. Inoltre, altri contengono bug che forniscono una backdoor, o un accesso nascosto, che fornisce un certo livello di controllo del programma.

    SMTP session hijacking

    SMTP è il metodo più comune per inviare e-mail su Internet. Pertanto, avendo accesso ad una lista di indirizzi email, una persona può inviare email spazzatura non richiesta (spam) a migliaia di utenti. Questo viene spesso fatto reindirizzando la posta attraverso il server SMTP di un host ignaro, rendendo difficile rintracciare il mittente effettivo dello spam.

    Bug del sistema operativo

    Come le applicazioni, alcuni sistemi operativi hanno backdoor. Inoltre, altri forniscono accesso remoto con controlli di sicurezza insufficienti o hanno bug che un hacker esperto può sfruttare.

    Denial of service

    Probabilmente hai sentito questa frase usata nei rapporti sugli attacchi ai principali siti web. Pertanto, questo tipo di attacco è quasi impossibile da combattere. Quello che succede è che l’hacker invia una richiesta al server per connettersi ad esso. Quando il server risponde con una conferma e prova a stabilire una sessione, non riesce a trovare il sistema che ha fatto la richiesta. Inondando un server con queste richieste di sessione che non rispondono, un hacker fa sì che il server rallenti e «strisci» o alla fine si blocchi.

    Bombe e-mail

    Una bomba e-mail è solitamente un attacco personale. In questo modo, qualcuno ti invia la stessa e-mail centinaia o migliaia di volte fino a quando il tuo sistema di posta elettronica non accetta più messaggi.

    Macro

    Per semplificare procedure complicate, molte applicazioni ti permettono di creare uno script di comandi che l’applicazione può eseguire. Come tale, questo script è conosciuto come una macro. Gli hacker hanno approfittato di questo per creare le loro macro che, a seconda dell’applicazione, possono distruggere i tuoi dati o bloccare il tuo computer.

    Virus

    Probabilmente la minaccia più conosciuta sono i virus informatici. Un virus è un piccolo programma che può copiare se stesso su altri computer. In questo modo, può diffondersi rapidamente da un sistema all’altro. Inoltre, i virus vanno da messaggi innocui alla cancellazione di tutti i tuoi dati.

    Spam

    Solitamente innocuo ma sempre fastidioso, lo spam è l’equivalente elettronico della posta spazzatura. Lo spam può essere pericoloso. Spesso contiene link a siti web. Fai attenzione quando clicchi su di essi perché potresti accidentalmente accettare un cookie che fornisce una backdoor nel tuo computer.

    Bombe di reindirizzamento

    Gli hacker possono usare ICMP per cambiare (reindirizzare) il percorso che le informazioni percorrono, inviandole ad un router diverso. Pertanto, questo è un modo per impostare un attacco denial of service.

    Source Routing

    Nella maggior parte dei casi, il percorso di un pacchetto su Internet (o qualsiasi altra rete) è determinato dai router lungo quel percorso. Ma la fonte che fornisce il pacchetto può specificare arbitrariamente il percorso che il pacchetto deve percorrere. Gli hacker a volte ne approfittano per far sembrare che le informazioni provengano da una fonte affidabile o addirittura dall’interno della rete! La maggior parte dei prodotti firewall disabilita il source routing per impostazione predefinita.

    Alcuni degli elementi della lista precedente sono difficili se non impossibili da filtrare utilizzando un firewall. Anche se alcuni firewall offrono una protezione antivirus, vale la pena investire per installare un software antivirus su ogni computer. E, anche se è fastidioso, un po’ di spam passerà attraverso il tuo firewall finché accetterai l’email.

    Il livello di sicurezza che imposti determinerà quante di queste minacce possono essere fermate dal tuo firewall. Il massimo livello di sicurezza sarebbe quello di bloccare semplicemente tutto. Ovviamente, questo va contro lo scopo di avere una connessione Internet. Ma una regola empirica comune è quella di bloccare tutto e poi iniziare a selezionare i tipi di traffico che permetterai. Inoltre, puoi anche limitare il traffico che passa attraverso il firewall in modo che solo certi tipi di informazioni, come le e-mail, possano passare. Questa è una buona regola generale per le aziende che hanno un amministratore di rete esperto che capisce quali sono i bisogni e sa esattamente quale traffico permettere.

    Ti è piaciuto? Cosa ne pensi? Lascia il tuo commento. Inoltre, non dimenticare di unirti al nostro gruppo Telegram. Basta cliccare su «Canale Telegram» che si trova in alto a destra della pagina!