Il firewall hardware: il sistema di sicurezza esterno

“Firewall” è un termine noto anche ai meno esperti, nonché parte integrante della sicurezza di ogni sistema informatico, ma di che cosa si tratta di preciso? Spiegato in breve: un firewall è un sistema di difesa che protegge un singolo computer o un’intera rete di computer da accessi indesiderati provenienti dall’esterno.

Ovviamente sono molte altre le caratteristiche che aiutano a descrivere e comprendere questi sistemi di sicurezza. Un sistema di firewall si basa sempre su una componente software, il cui luogo di installazione determina se si tratti di un personal firewall o di un firewall esterno. Il primo, chiamato anche desktop firewall, è la tipologia di firewall più comune e conosciuta per i computer privati; il secondo è invece più utilizzato per la protezione di reti di computer. Nei paragrafi successivi vi spiegheremo le differenze tra i due tipi di firewall e i metodi sui quali questi sistemi di sicurezza si basano per la protezione di un computer.

La differenza principale tra le due opzioni di firewall risiede nei componenti utilizzati: un desktop firewall consiste in una semplice soluzione software, che, installata sul computer da proteggere, controlla il traffico dati tra il computer e la rete in cui si trova. Alcuni sistemi operativi, come Windows, hanno di norma un software simile integrato.

Al contrario, un firewall esterno è una combinazione di componenti software e hardware, che si trovano tra diverse reti di computer e ne controllano il traffico dati. Per questo si parla anche di network firewall o firewall hardware. Detto più semplicemente: un firewall esterno è un dispositivo autonomo che collega tra di loro diverse reti grazie ad interfacce di rete integrate. Per poter controllare il traffico dei dati sono installati sul dispositivo un programma per il firewall e in certi casi anche un sistema operativo.

I firewall esterni sono essenzialmente più complessi rispetto ai personal firewall. Ciò li rende da un lato più costosi, dall’altro la soluzione più affidabile per la sicurezza. Dal momento che il software non si trova sul sistema da proteggere stesso, non può essere manipolato facilmente. Se il desktop firewall, invece, viene disattivato o compromesso, il sistema rimane non protetto e spesso l’utente non si accorge di niente in caso di attacchi esterni verificatisi in quello spazio di tempo. Un attacco simile su un network firewall comporta un crash totale del dispositivo, cosa che blocca automaticamente il traffico dati in entrata e in uscita fino al prossimo riavvio.

Proprio per il loro elevato livello di sicurezza, i firewall hardware sono la soluzione migliore per i centri di elaborazione dati. Sono adeguati anche alle reti di computer che richiedono una protezione completa. Per questo motivo non è insolito far sorvegliare il traffico di dati sensibili, come ad esempio quello di banche o reti aziendali, con o senza server, da firewall esterni professionali. Al contrario, installando dei desktop firewall per ogni singolo computer all’interno di una rete, si solleva da una parte il problema di una più facile manipolazione e dall’altra quello di un impegno maggiore, perché tutti i programmi installati devono essere poi anche singolarmente configurati. In aggiunta bisogna mettere anche in conto costi maggiori, dal momento che per ogni computer è necessaria una licenza.

I personal firewall sono adatti ad un uso privato, ad esempio sul computer di casa, in quanto velocemente installabili, dai costi contenuti e solitamente configurabili anche da utenti meno esperti. Le esigenze di piccole aziende, che hanno installato una rete ben strutturata, possono a loro volta essere soddisfatte dai desktop firewall, a condizione che questi vengano configurati correttamente. Infine, se si ha a disposizione il budget necessario e la disponibilità di sopperire al dispendio di energie richiesto, possono andare ad implementare un firewall hardware.

L’utilizzo di network firewall è, come accennato, particolarmente indicato nel caso avvenga uno scambio di dati sensibili all’interno della piattaforma web. Tipicamente proteggono una rete che è collegata a Internet.  È comunque possibile anche il collegamento ad un’altra rete privata, che viene vista sempre come potenzialmente insicura. In linea di massima un firewall hardware può essere configurato autonomamente secondo le proprie esigenze, installando il corrispondente firewall software su un dispositivo adeguato e rafforzando il sistema operativo, in modo da renderlo quasi invulnerabile agli attacchi esterni, cosa che si verifica solo nel caso in cui vengano utilizzati esclusivamente i programmi necessari per il sistema operativo. Essenzialmente più facile è l’uso di un’appliance di firewall, cioè un sistema pronto e combinato che comprende hardware, sistema operativo rafforzato e firewall software su misura. Ne esistono tre tipi diversi:

• Bridging firewall: si tratta di due segmenti di rete separati fisicamente, ma collegati tra di loro sul livello di collegamento (livello 2) del modello ISO/OSI, cosa che rende il firewall praticamente invisibile e inattaccabile. I dati in entrata e in uscita vengono inoltrati, solo se si trovano su questo livello. Per filtrare anche gli indirizzi IP e le porte, il bridging firewall, al contrario del tipico bridge, può anche accedere ai livelli superiori del protocollo.

• Routing firewall: i routing firewall sono i firewall hardware più diffusi, che vengono utilizzati su quasi tutti i dispositivi per uso privato, come ad esempio sui router ADSL. A differenza del bridging firewall, questo tipo di firewall lavora direttamente a partire dal livello di rete (livello 3) e filtra le porte e gli indirizzi IP. Questo comporta però che il routing firewall si renda visibile in rete e quindi più facile da attaccare.

• Proxy firewall: il firewall lavora come proxy tra la rete di origine e quella di destinazione. I sistemi di entrambe le parti non instaurano alcuna connessione diretta e non ricevono neanche pacchetti generati direttamente dal sistema di destinazione. Gli hacker difficilmente quindi scoprono dove si trova, ad esempio, la rete aziendale protetta. I proxy firewall lavorano sul livello di applicazione (livello 7) e possono attuare delle misure di sicurezza sostanzialmente più specifiche rispetto ai routing e bridging firewall. Utilizzando un firewall di questo tipo, si devono però da un lato fare i conti con prestazioni minori e dall’altro con l’esigenza di conoscenze approfondite per la configurazione.

Il ruolo più importante nel funzionamento dei diversi tipi di firewall hardware è svolto dal filtraggio dei pacchetti. In questo caso il firewall decide sulla base di regole configurate manualmente, quali pacchetti debbano essere inoltrati e quali no. Per fare questo, il firewall lavora sui livelli 3 e 4 del modello ISO/OSI, cioè i livelli di rete e di trasporto, e controlla qui i pacchetti in base alle proprietà estratte dal rispettivo header del protocollo. Qui è ad esempio possibile individuare indirizzi IP esatti o porte, che sono indicati tra le regole del firewall come autorizzati o bloccati.

Grazie al bridge citato o anche tramite uno switch, che si configura come una sorta di estensione per il bridge, il filtraggio dei pacchetti può anche essere eseguito sul livello di collegamento, il secondo livello del modello ISO/OSI. Qui il filtraggio dei pacchetti non avviene in base agli indirizzi IP, ma agli indirizzi MAC, utilizzati per indirizzare l’hardware.

Inoltre i firewall possono filtrare le informazioni a seconda delle estensioni dei metodi di controllo, conosciuti come Stateful Packet Inspection (SPI). Per questo nel filtraggio dei pacchetti, limitato solitamente ai livelli 3 e 4, sono inclusi ancora il livello di applicazione (livello 7) e i dati in questo contenuti. Al contrario di un proxy firewall, che ha ugualmente accesso a questo livello, la tecnica SPI non permette però di modificare i dati.