Il firewall hardware: il sistema di sicurezza esterno

“Firewall” è un termine noto anche ai meno esperti, nonché parte in­te­gran­te della sicurezza di ogni sistema in­for­ma­ti­co, ma di che cosa si tratta di preciso? Spiegato in breve: un firewall è un sistema di difesa che protegge un singolo computer o un’intera rete di computer da accessi in­de­si­de­ra­ti pro­ve­nien­ti dall’esterno.

Ov­via­men­te sono molte altre le ca­rat­te­ri­sti­che che aiutano a de­scri­ve­re e com­pren­de­re questi sistemi di sicurezza. Un sistema di firewall si basa sempre su una com­po­nen­te software, il cui luogo di in­stal­la­zio­ne determina se si tratti di un personal firewall o di un firewall esterno. Il primo, chiamato anche desktop firewall, è la tipologia di firewall più comune e co­no­sciu­ta per i computer privati; il secondo è invece più uti­liz­za­to per la pro­te­zio­ne di reti di computer. Nei paragrafi suc­ces­si­vi vi spie­ghe­re­mo le dif­fe­ren­ze tra i due tipi di firewall e i metodi sui quali questi sistemi di sicurezza si basano per la pro­te­zio­ne di un computer.

La dif­fe­ren­za prin­ci­pa­le tra le due opzioni di firewall risiede nei com­po­nen­ti uti­liz­za­ti: un desktop firewall consiste in una semplice soluzione software, che, in­stal­la­ta sul computer da pro­teg­ge­re, controlla il traffico dati tra il computer e la rete in cui si trova. Alcuni sistemi operativi, come Windows, hanno di norma un software simile integrato.

Al contrario, un firewall esterno è una com­bi­na­zio­ne di com­po­nen­ti software e hardware, che si trovano tra diverse reti di computer e ne con­trol­la­no il traffico dati. Per questo si parla anche di network firewall o firewall hardware. Detto più sem­pli­ce­men­te: un firewall esterno è un di­spo­si­ti­vo autonomo che collega tra di loro diverse reti grazie ad in­ter­fac­ce di rete integrate. Per poter con­trol­la­re il traffico dei dati sono in­stal­la­ti sul di­spo­si­ti­vo un programma per il firewall e in certi casi anche un sistema operativo.

I firewall esterni sono es­sen­zial­men­te più complessi rispetto ai personal firewall. Ciò li rende da un lato più costosi, dall’altro la soluzione più af­fi­da­bi­le per la sicurezza. Dal momento che il software non si trova sul sistema da pro­teg­ge­re stesso, non può essere ma­ni­po­la­to fa­cil­men­te. Se il desktop firewall, invece, viene di­sat­ti­va­to o com­pro­mes­so, il sistema rimane non protetto e spesso l’utente non si accorge di niente in caso di attacchi esterni ve­ri­fi­ca­ti­si in quello spazio di tempo. Un attacco simile su un network firewall comporta un crash totale del di­spo­si­ti­vo, cosa che blocca au­to­ma­ti­ca­men­te il traffico dati in entrata e in uscita fino al prossimo riavvio.

Proprio per il loro elevato livello di sicurezza, i firewall hardware sono la soluzione migliore per i centri di ela­bo­ra­zio­ne dati. Sono adeguati anche alle reti di computer che ri­chie­do­no una pro­te­zio­ne completa. Per questo motivo non è insolito far sor­ve­glia­re il traffico di dati sensibili, come ad esempio quello di banche o reti aziendali, con o senza server, da firewall esterni pro­fes­sio­na­li. Al contrario, in­stal­lan­do dei desktop firewall per ogni singolo computer all’interno di una rete, si solleva da una parte il problema di una più facile ma­ni­po­la­zio­ne e dall’altra quello di un impegno maggiore, perché tutti i programmi in­stal­la­ti devono essere poi anche sin­go­lar­men­te con­fi­gu­ra­ti. In aggiunta bisogna mettere anche in conto costi maggiori, dal momento che per ogni computer è ne­ces­sa­ria una licenza.

I personal firewall sono adatti ad un uso privato, ad esempio sul computer di casa, in quanto ve­lo­ce­men­te in­stal­la­bi­li, dai costi contenuti e so­li­ta­men­te con­fi­gu­ra­bi­li anche da utenti meno esperti. Le esigenze di piccole aziende, che hanno in­stal­la­to una rete ben strut­tu­ra­ta, possono a loro volta essere sod­di­sfat­te dai desktop firewall, a con­di­zio­ne che questi vengano con­fi­gu­ra­ti cor­ret­ta­men­te. Infine, se si ha a di­spo­si­zio­ne il budget ne­ces­sa­rio e la di­spo­ni­bi­li­tà di sopperire al dispendio di energie richiesto, possono andare ad im­ple­men­ta­re un firewall hardware.

L’utilizzo di network firewall è, come accennato, par­ti­co­lar­men­te indicato nel caso avvenga uno scambio di dati sensibili all’interno della piat­ta­for­ma web. Ti­pi­ca­men­te pro­teg­go­no una rete che è collegata a Internet.  È comunque possibile anche il col­le­ga­men­to ad un’altra rete privata, che viene vista sempre come po­ten­zial­men­te insicura. In linea di massima un firewall hardware può essere con­fi­gu­ra­to au­to­no­ma­men­te secondo le proprie esigenze, in­stal­lan­do il cor­ri­spon­den­te firewall software su un di­spo­si­ti­vo adeguato e raf­for­zan­do il sistema operativo, in modo da renderlo quasi in­vul­ne­ra­bi­le agli attacchi esterni, cosa che si verifica solo nel caso in cui vengano uti­liz­za­ti esclu­si­va­men­te i programmi necessari per il sistema operativo. Es­sen­zial­men­te più facile è l’uso di un’appliance di firewall, cioè un sistema pronto e combinato che comprende hardware, sistema operativo raf­for­za­to e firewall software su misura. Ne esistono tre tipi diversi:

• Bridging firewall: si tratta di due segmenti di rete separati fi­si­ca­men­te, ma collegati tra di loro sul livello di col­le­ga­men­to (livello 2) del modello ISO/OSI, cosa che rende il firewall pra­ti­ca­men­te in­vi­si­bi­le e inat­tac­ca­bi­le. I dati in entrata e in uscita vengono inoltrati, solo se si trovano su questo livello. Per filtrare anche gli indirizzi IP e le porte, il bridging firewall, al contrario del tipico bridge, può anche accedere ai livelli superiori del pro­to­col­lo.

• Routing firewall: i routing firewall sono i firewall hardware più diffusi, che vengono uti­liz­za­ti su quasi tutti i di­spo­si­ti­vi per uso privato, come ad esempio sui router ADSL. A dif­fe­ren­za del bridging firewall, questo tipo di firewall lavora di­ret­ta­men­te a partire dal livello di rete (livello 3) e filtra le porte e gli indirizzi IP. Questo comporta però che il routing firewall si renda visibile in rete e quindi più facile da attaccare.

• Proxy firewall: il firewall lavora come proxy tra la rete di origine e quella di de­sti­na­zio­ne. I sistemi di entrambe le parti non in­stau­ra­no alcuna con­nes­sio­ne diretta e non ricevono neanche pacchetti generati di­ret­ta­men­te dal sistema di de­sti­na­zio­ne. Gli hacker dif­fi­cil­men­te quindi scoprono dove si trova, ad esempio, la rete aziendale protetta. I proxy firewall lavorano sul livello di ap­pli­ca­zio­ne (livello 7) e possono attuare delle misure di sicurezza so­stan­zial­men­te più spe­ci­fi­che rispetto ai routing e bridging firewall. Uti­liz­zan­do un firewall di questo tipo, si devono però da un lato fare i conti con pre­sta­zio­ni minori e dall’altro con l’esigenza di co­no­scen­ze ap­pro­fon­di­te per la con­fi­gu­ra­zio­ne.

Il ruolo più im­por­tan­te nel fun­zio­na­men­to dei diversi tipi di firewall hardware è svolto dal fil­trag­gio dei pacchetti. In questo caso il firewall decide sulla base di regole con­fi­gu­ra­te ma­nual­men­te, quali pacchetti debbano essere inoltrati e quali no. Per fare questo, il firewall lavora sui livelli 3 e 4 del modello ISO/OSI, cioè i livelli di rete e di trasporto, e controlla qui i pacchetti in base alle proprietà estratte dal ri­spet­ti­vo header del pro­to­col­lo. Qui è ad esempio possibile in­di­vi­dua­re indirizzi IP esatti o porte, che sono indicati tra le regole del firewall come au­to­riz­za­ti o bloccati.

Grazie al bridge citato o anche tramite uno switch, che si configura come una sorta di esten­sio­ne per il bridge, il fil­trag­gio dei pacchetti può anche essere eseguito sul livello di col­le­ga­men­to, il secondo livello del modello ISO/OSI. Qui il fil­trag­gio dei pacchetti non avviene in base agli indirizzi IP, ma agli indirizzi MAC, uti­liz­za­ti per in­di­riz­za­re l’hardware.

Inoltre i firewall possono filtrare le in­for­ma­zio­ni a seconda delle esten­sio­ni dei metodi di controllo, co­no­sciu­ti come Stateful Packet In­spec­tion (SPI). Per questo nel fil­trag­gio dei pacchetti, limitato so­li­ta­men­te ai livelli 3 e 4, sono inclusi ancora il livello di ap­pli­ca­zio­ne (livello 7) e i dati in questo contenuti. Al contrario di un proxy firewall, che ha ugual­men­te accesso a questo livello, la tecnica SPI non permette però di mo­di­fi­ca­re i dati.