L’Abc dei firewall: dall’antivirus al sandboxing

I firewall sono ormai presenti in tutte le aziende. Un recente studio condotto da Nss Labs, società di network testing, ha rivelato che fino all' 80% delle grandi aziende gestisce un firewall di nuova generazione. Idc stima che il mercato unificato di gestione delle minacce nel 2015 ammontava a 7,6 miliardi di dollari e raggiungerà i12,7 miliardi di dollari entro il 2020.

A cosa servono

Partiamo dalle basi. I firewall fungono da strumento di difesa perimetrale che controlla il traffico e lo permette o lo blocca. Nel corso degli anni la funzionalità è aumentata e ora la maggior parte non solo può bloccare una serie di minacce conosciute e imporre politiche avanzate di controllo degli accessi elenco, ma anche ispezionare in profondità singoli pacchetti di traffico e pacchetti di test per determinare se sono sicuri. La maggior parte sono distribuiti come hardware di rete che elabora traffico e software che consente agli utenti finali di configurare e gestire il sistema. Sempre più spesso, le versioni di basate esclusivamente su software, vengono implementate in ambienti altamente virtualizzati per implementare policy su reti segmentate o nel cloud pubblico IaaS.

Le tipologie

I progressi nella tecnologia  hanno creato nuove opzioni per le implementazioni nell'ultimo decennio, quindi ora sono a disposizione una manciata di opzioni per gli utenti finali che desiderano implementarli.

Firewall Stateful. Esaminano il traffico in un contesto più olistico, tenendo conto dello stato operativo e delle caratteristiche della connessione di rete per fornire un firewall più completo.

Firewall di nuova generazione. Nel corso degli anni i firewall hanno aggiunto una miriade di nuove funzionalità, tra cui l'ispezione profonda dei pacchetti, il rilevamento delle intrusioni e la prevenzione e l' ispezione del traffico criptato. I firewall di nuova generazione (Ngfw) si riferiscono ai firewall che hanno integrato molte di queste funzionalità avanzate.

Firewall basati su proxy. Fungono da gateway tra gli utenti finali che richiedono i dati e la fonte di tali dati. Tutto il traffico viene filtrato attraverso questo proxy prima di essere trasmesso all' utente finale. Ciò protegge il cliente dall' esposizione alle minacce mascherando l' identità del richiedente originale delle informazioni.

Firewall per applicazioni Web. Si trovano di fronte ad applicazioni specifiche, anziché piazzarsi su un punto di ingresso o di uscita di una rete più ampia. Mentre quelli basati su proxy sono generalmente pensati per proteggere i client degli utenti finali, i Waf sono pensati per proteggere i server delle applicazioni.

Hardware firewall. È in un server semplice che può fungere da router per filtrare il traffico e far funzionare i software firewall. Questi dispositivi sono collocati ai margini di una rete aziendale, tra un router e il punto di connessione del provider di servizi Internet. Un'impresa tipica può implementare decine di firewall fisici in un data center. Gli utenti devono determinare quale capacità di throughput hanno bisogno del firewall da supportare in base alle dimensioni della base di utenti e alla velocità della connessione a Internet.

Software firewall. Tipicamente gli utenti finali distribuiscono più endpoint hardware firewall e un sistema software firewall centrale per gestire la distribuzione. Questo sistema centrale è il luogo in cui vengono configurati policy e funzionalità, dove è possibile effettuare analisi e rispondere alle minacce.

Le funzionalità dei firewall

Controllo. La funzionalità di base in cui il dispositivo blocca il traffico indesiderato noto.

Antivirus: questa funzionalità che ricerca virus e vulnerabilità noti nel traffico di rete è supportata dal firewall che riceve aggiornamenti sulle minacce più recenti ed è costantemente aggiornata.

Sistemi antintrusione (Ips). Questa classe di prodotti di sicurezza può essere implementata come prodotto indipendente, ma la funzionalità Ips è sempre più integrata nelle Ngfw. Mentre le tecnologie firewall di base identificano e bloccano determinati tipi di traffico di rete, Ips utilizza misure di sicurezza più granulari come il tracciamento delle firme e il rilevamento delle anomalie per prevenire l' ingresso di minacce indesiderate nelle reti aziendali. I sistemi Ips hanno sostituito la precedente versione di questa tecnologia, Intrusion detection systems (Ids) che si concentrava più sull' identificazione delle minacce invece che sul loro contenimento.

Deep packet inspection (Dpi). Dpi può essere parte o utilizzato in combinazione con un Ips, ma la sua caratteristica diventa comunque una caratteristica importante delle Ngfw per la capacità di fornire un'analisi granulare del traffico, in particolare le intestazioni dei pacchetti di traffico e dati sul traffico. Il Dpi può anche essere utilizzato per monitorare il traffico in uscita e garantire che le informazioni sensibili non lascino le reti aziendali.

Ispezione Ssl. Secure sockets layer (Ssl) è l'idea di ispezionare il traffico criptato per verificare la presenza di minacce. Con l'aumento del traffico criptato, l'ispezione Ssl sta diventando un componente importante della tecnologia Dpi che viene implementata nelle Ngfw. L' ispezione Ssl funge da buffer che consente di non crittografare il traffico prima che venga consegnato alla destinazione finale per il test.

Sandboxing. Questa è una delle caratteristiche più recenti che vengono introdotte nelle Ngfw e si riferisce alla capacità di prendere traffico o codice sconosciuto ed eseguirlo in un ambiente di test per determinare se è nefasto.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here