Oggi, i firewall devono controllare non solo ciò che viene da fuori, ma anche il traffico in uscita dal perimentro dalla Lan aziendale
È a partire degli anni 80 che i firewall sono diventati parte integrante di quasi tutte le reti di sicurezza aziendale. Oggi, questi strumenti non solo proteggono i computer da accessi non autorizzati, ma sono in grado di rafforzare le policy di gruppo, intercettare le minacce all’integrità della rete aziendale e offrire un accesso sicuro a contenuti privati. Possono assumere la forma di applicazioni software o dispositivi hardware, oppure una combinazione dei due (appliance). Si tratta di tecnologie studiate per impedire le comunicazioni non autorizzate tra una rete privata e quella pubblica (Internet). Solitamente, queste tecnologie sono posizionate sulla frontiera che separa il network dal mondo esterno. È, tuttavia, possibile frazionare ulteriormente la rete interna in diverse “isole”, collegandole tra loro attraverso firewall, in modo da ridurre al minimo l’impatto di eventuali attacchi.
Generalmente, questo tipo di sistemi di protezione consente il transito dei file all’apparenza sicuri, come le e-mail, ma blocca le porte Tcp (Trasmission control protocol) nel caso in cui transiti sul perimetro un servizio potenzialmente dannoso. I firewall forniscono accesso, funzionalità di allarme e cifratura dei messaggi, con lo scopo ultimo di riuscire a “offuscare” il contenuto delle informazioni che devono essere spedite utilizzando la rete pubblica. Queste tecnologie sono riconducibili, in linea di principio, a tre tipologie differenti. I sistemi di filtraggio dei pacchetti sottopongono al vaglio di una serie di regole predefinite ciascun pacchetto Ip. L’amministratore fissa delle direttive positive (che specificano cosa è permesso), o negative (che stabiliscono quel che è vietato) e, in relazione al risultato ottenuto, l’insieme di dati sarà accettato o rifiutato. Le regole potranno prendere in esame, ad esempio, l’indirizzo Ip o le porte Tcp. I firewall al livello delle applicazioni gestiscono, invece, i collegamenti tra software distribuiti. Infine, i firewall circuit level “rompono” le connessioni Tcp in due segmenti. Il primo collega il computer interno con il firewall, il secondo lo unisce al computer esterno.
La sicurezza è garantita dal fatto che solo le trasmissioni Tcp che rispettano le policy di sicurezza definite per l’uno e l’altro tratto verranno autorizzate. I diversi tipi di protezione potranno essere anche combinati tra loro, per incrementare il livello di sicurezza complessiva, a tutela del sistema informativo. I primi firewall erano poco più che dei filtri, che esaminavano il contenuto dei pacchetti, mentre oggi, parallelamente alla progressiva sofisticazione delle minacce, anche la gamma di firewall disponibili si è ampliata e comprende router basilari ma anche soluzioni piuttosto complesse, che possono costare anche migliaia di euro. Siccome questo tipo di prodotto richiede una scheda di rete per ciascun network con il quale si interfaccia, occorre che il Cio o il Cso abbiano le idee ben chiare sul suo posizionamento. Le grandi organizzazioni generalmente segmentano i server pubblici, come quelli sui quali sono collocate le applicazioni di gestione della posta elettronica e i Web server, su una rete separata, creando una “zona demilitarizzata” (Dmz), che richiede una scheda di rete a sé stante.
Prima di acquistare un firewall, bisogna decidere che tipologia di strumento (hardware o software) si preferisce. La scelta non è banale (si veda in proposito il box). Ma, soprattutto, successivamente all’acquisto occorrerà approntare una serie di azioni idonee a rendere effettivamente inespugnabile il nostro firewall. Anzitutto, un’accortezza che sfugge ai più, ma che è fondamentale, è quella di monitorare il traffico in uscita dal perimetro della Lan. Solitamente, infatti, si presume di proteggersi da qualcosa che venga da fuori (come virus e worm), ma si trascura che molte di queste epidemie sono innescate dall’interno. Questo tipo di filtraggio del traffico, detto anche egress filtering, previene gli attacchi “zombie”, condotti sfruttando le macchine interne alla Lan per installare, all’insaputa dei loro utenti, programmi che collegano server e computer in un’unica unità, una sorta di esercito di zombie, appunto, che fornisce un’enorme potenza di fuoco utile a commettere crimini su Internet, come furti di dati o frodi, così come per propagare lo spam.
Un altro elemento centrale, per assicurare che il firewall lavori al meglio, è la creazione di una zona demilitarizzata (Dmz), ovvero una rete situata tra la Lan e Internet, che inibisce l’accesso diretto degli utenti interni alla rete pubblica, stabilendo che tutte le richieste di accesso ai siti Web da parte degli esterni vengano preventivamente filtrate, secondo regole ferree, dalla Dmz. È buona norma includere nella Dmz il server Web, così che i fruitori esterni possano avere libero accesso al sito dell’azienda ma non ai dati che risiedono sul network interno. Altra “buona regola” è quella di configurare l’Ntp (Network time protocol). Si tratta di un programma client/server che permette di sincronizzare i tempi di clock di un computer all’interno di una rete, in modo che si possano implementare policy di aggiornamento dei file system.
