LA GUIDA COMPLETA

Firewall: cos’è, come funziona e come configurarlo su Windows e Linux

I firewall continuano a rappresentare un componente importante della sicurezza aziendale e negli anni hanno continuato ad evolvere per tenere conto delle nuove minacce. Ecco come funzionano, come scegliere quello più adatto alle diverse esigenze e la guida pratica per una configurazione di base

29 Apr 2020
B
Fabio Bucciarelli

Security Senior Advisor


Un firewall è un dispositivo che ha lo scopo di connettere due o più reti diverse e che viene attraversato dal traffico che va da una rete all’altra; tali reti possono appartenere a diverse zone di sicurezza: alcune sono più fidate e necessitano di maggiore protezione e altre sono più rischiose.

Il firewall implementa quindi policy di sicurezza attraverso le quali viene determinato il traffico che può transitare da una rete all’altra e quello che deve essere bloccato, in quanto rischioso per la rete o le reti che devono essere protette.

Fino a non molti anni fa, quando le misure di sicurezza in azienda erano quasi esclusivamente focalizzate sulla difesa del perimetro, il firewall era il punto nevralgico dell’infrastruttura di sicurezza dell’azienda.

Con l’evoluzione dei sistemi informativi aziendali e la progressiva sfumatura del perimetro aziendale, il firewall ha perso di importanza, tanto che qualcuno ha anche ipotizzato la sua inutilità.

Questo non è certamente vero, perché il firewall non è rimasto lo stesso e si è nel tempo evoluto per adeguarsi alle nuove infrastrutture e alle nuove minacce e, anche se attualmente costituisce una fra le tante tecnologie di sicurezza messe in campo in azienda, riveste sempre un ruolo di primo piano.

Il firewall: come funziona

I punti fondamentali del firewall siano la definizione delle policy, compito del team che gestisce il firewall stesso, e i parametri con le quali tali policy possono essere definite, compito del produttore del firewall.

Le policy di sicurezza vengono generalmente implementate mediante le cosiddette Access Control List (ACL), ovvero liste ordinate di condizioni (ad esempio su IP e protocolli) a cui è associato un target (es. permit/deny): alla fine della lista è presente il target di default.

Ogni pacchetto viene confrontato in ordine con tutte le condizioni e viene inviato a destinazione o scartato a seconda di cosa prevede il target della prima ACL per la quale la condizione è verificata. Se nessuna condizione viene soddisfatta il pacchetto viene scartato o inviato a destinazione secondo quanto previsto dal target di default.

L’evoluzione del firewall

Il firewall è nato negli anni 90 come funzionalità di packet filtering integrata negli apparati di rete. Il packet filtering permette di basare le condizioni delle ACL sulla base degli indirizzi IP sorgente e destinazione, protocollo di trasporto e porta.

Una prima evoluzione dei packet filtering firewall è stato il firewall con funzionalità di stateful inspection. Lo stateful firewall mantiene informazioni sullo stato della connessione, per cui è possibile definire una condizione in un’ACL, oltre che tramite indirizzo IP, protocollo di trasporto e porta, anche mediante lo stato della connessione di cui il pacchetto fa parte.

Tenere traccia del contesto del pacchetto permette di garantire una maggior sicurezza nell’ispezione dei pacchetti.

Successivamente è nata la necessità di salire la pila dei protocolli ISO/OSI, realizzando così i cosiddetti firewall applicativi, ovvero firewall in grado di comprendere (e quindi definire condizioni di filtraggio) sui protocolli di rete del layer applicativo (HTTP, SMTP ecc.).

Questa necessità ha portato alla nascita di soluzioni di sicurezza specializzate, come gli Intrusion Prevention System (IPS), apparati in grado di riconoscere e filtrare pattern di attacco, e Web Application Firewall (WAF), apparati in grado di riconoscere e bloccare eventuali attacchi alle applicazioni web.

Poiché la presenza di diversi apparati di sicurezza di rete rendeva complicata la gestione da parte degli staff di sicurezza sono apparsi sulla scena i cosiddetti firewall Unified Threat Management (UTM), ovvero apparati di sicurezza caratterizzati soprattutto dalla semplicità, che combinano al loro interno diverse tipologie di prodotti: oltre al firewall e ai già citati IPS e WAF, anche antispam, antimalware, URL filtering eccetera.

Nel 2009, Gartner ha coniato il termine Next Generation Firewall per indicare apparati altamente personalizzabili con funzionalità di deep packet inspection, intrusion prevention, capacità di riconoscere le applicazioni (e non solo il protocollo applicativo), funzionalità antimalware con informazioni di intelligence provenienti dall’esterno.

Infine, i paradigmi della virtualizzazione prima e quello delle Software Defined Network (SDN) poi sono stati applicati anche ai firewall, tanto che ora si parla anche di Software Defined Security. Attualmente i principali cloud provider offrono all’interno dei loro servizi IaaS anche firewall virtuali.

Tipologie di firewall

Le tipologie di filtraggio introdotte nel paragrafo sull’evoluzione possono essere utili anche per classificare i firewall. Un altro tipo di classificazione può derivare dalla tipologia di utilizzo per il quale sono stati progettati, oppure alla modalità con la quale vengono forniti.

Un firewall Enterprise è progettato per proteggere reti aziendali, fornisce parecchie funzionalità ed è spesso complicato da utilizzare, prevedendo l’utilizzo di personale specializzato.

Un firewall personale, al contrario, è progettato per fornire protezione su un singolo host oppure su una piccola rete. Spesso fornisce funzionalità di base, ma facilità di utilizzo. Sebbene, come dice il nome, siano spesso associati ad un utilizzo personale, per esempio in una rete domestica, possono essere utilizzati in azienda come complemento dei firewall Enterprise.

Un firewall hardware è fornito come apparato appositamente costruito per funzionare come firewall contenente software dedicato. Sebbene sia a tutti gli effetti un computer, con processore, RAM, schede di rete, sistema operativo ecc., tutte le componenti hardware e software sono appositamente progettati per tale scopo. Tutte le componenti del sistema operativo che non servono allo scopo sono rimosse.

WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

Un firewall software è un’applicazione che viene eseguita in un sistema generico, dotato di hardware generico e sistema operativo general purpose. Per tale motivo è generalmente meno efficiente, anche se di contro è meno costoso e più flessibile.

Il firewall nel contesto aziendale

Una prima valutazione che occorre fare in merito all’utilizzo di firewall nel contesto aziendale è la tipologia di firewall del quale ci si vuole dotare e il suo posizionamento all’interno della rete aziendale, visto che i firewall devono essere attraversati dal traffico che deve essere controllato. Occorre quindi conoscere:

  • la struttura della rete aziendale;
  • quale tipologia di traffico la attraversa;
  • la necessità di utilizzare una o più DMZ o di creare zone segregate;
  • dove sono i dati e i sistemi che devono essere protetti;
  • quali sono le minacce ed eventuali pattern di attacco.

In merito al posizionamento, la scelta più obbligata è quella del firewall perimetrale, che costituisce il posizionamento tradizionale del firewall aziendale. Il firewall viene posizionato sul perimetro della rete aziendale con la finalità di proteggere la rete aziendale dagli attacchi provenienti dall’esterno.

Sebbene la presenza di un firewall perimetrale sia tuttora necessaria, si è presto visto come questo non sia sufficiente. Il fatto che sempre più servizi aziendali dovessero essere esposti su Internet, ha fatto nascere l’esigenza di una DMZ, una rete ove vengono posizionati i sistemi esposti su Internet e isolata il più possibile dalla rete interna, in modo che eventuali compromissioni di tali sistemi non avessero ricadute immediate sui sistemi interni.

La DMZ è stata una prima forma di segmentazione, spesso ottenuta attraverso il firewall perimetrale stesso.

Oggi la necessità di segmentare le reti differenziando sistemi e ambienti con diversi requisiti di sicurezza è ben presente in tutte le realtà aziendali. Di solito si soddisfa questa esigenza mantenendo il firewall perimetrale e aggiungendo uno o più firewall per le reti interne. In uno scenario di questo tipo è auspicabile aggiungere la protezione dei singoli host mediante firewall personale.

La figura seguente mostra un possibile esempio di implementazione della segmentazione delle reti.

Infine, i nuovi paradigmi di virtualizzazione della sicurezza e della Security as a Service danno la possibilità di estremizzare il concetto di segmentazione, arrivando anche al singolo host: in questi casi si parla di micro segmentazione.

Un altro aspetto da considerare è quello dell’integrazione dei firewall aziendali con gli altri sistemi di sicurezza.

Abbiamo visto come i firewall rappresentino strumenti importanti nella protezione della rete, ma da soli non bastino a rendere sicuro un ambiente. L’ambiente deve quindi essere pensato come un tutt’uno, tutti i possibili rischi devono essere considerati e il firewall rientra in un contesto di protezione più ampio.

In questo scenario un aspetto importante è quello della comunicazione e cooperazione fra i vari dispositivi di sicurezza.

Tradizionalmente ogni tipologia di dispositivo svolgeva il suo compito senza considerare gli altri dispositivi di tipologia e/o vendor diversi. In realtà sarebbe molto più efficace se i dispositivi fossero in grado di comunicare tra loro le informazioni sulle minacce e gli attacchi in corso e di cooperare per neutralizzarli.

Si pensi ad uno scenario dove un NGFW riconosce il download di malware da parte di un utente: sarebbe di grande aiuto se questa informazione fosse passata al software antimalware, in grado a quel punto di riconoscere lo stesso malware eventualmente già presente sulle postazioni di lavoro.

Se il NGFW è stato un primo passo in questo senso, visto che i diversi componenti risiedono in un unico apparato e sono fortemente integrati, ulteriori passi avanti sono stati fatti nella comunicazione e cooperazione fra apparati diversi di uno stesso vendor o all’utilizzo di informazioni provenienti da apparati dello stesso vendor installati in tutto il mondo.

Più difficoltosa è la cooperazione fra apparati di vendor diversi, a causa della mancanza di standard condivisi o dalle logiche di mercato che non stimolano i vendor a investire in questo senso.

Le migliori soluzioni Enterprise

L’analisi dei migliori firewall Enterprise, come per altre tipologie di prodotti IT Enterprise, viene già svolta egregiamente ed aggiornata annualmente dai principali analisti.

Rimandando quindi all’esito di tali analisi per capire quali sono i “vincitori” di tali analisi, può essere interessante riportare qui quali sono le caratteristiche che gli analisti, in particolare Gartner, prendono in considerazione nel valutare i network firewall Enterprise.

Come ribadito dallo stesso Gartner, seppure dall’analisi esce fuori un risultato riportato anche graficamente, il famoso “magic quadrant”, che sembra dichiarare quali siano i vincitori, in realtà l’analisi andrebbe valutata nella sua interezza, in quanto anche prodotti che non si posizionano nel quadrante in alto a destra possono essere i più adatti in un determinato contesto.

Gartner magic quadrant for network firewalls (Fonte: Gartner).

Gartner, nel suo “magic quadrant” relativo ai network firewall prende in considerazione diverse tipologie di firewall: appliance fisiche, virtuali, moduli firewall embedded, firewall forniti dai provider IaaS.

Sulla direttrice del quadrante della capacità di esecuzione prende in considerazione la qualità del prodotto o servizio, la vitalità del produttore, l’abilità del produttore nel rispondere alle sfide del mercato, l’esperienza dei clienti, la visibilità e l’operatività del produttore.

Sulla direttrice del quadrante riguardante la completezza della visione, Gartner prende in considerazione la capacità di comprendere il mercato, la strategia di marketing, di vendita e di offerta, il modello di business, la strategia per i mercati verticali, l’innovazione, la strategia geografica.

Le soluzioni personali

Per terminare, accenniamo brevemente alle funzionalità dei firewall personali forniti con i sistemi operativi Windows e Linux. Sebbene a livello aziendale queste tipologie di firewall non possano essere visti come sostituti dei firewall Enterprise, il loro utilizzo sia sui server che sulle postazioni di lavoro può essere utile come ulteriore misura di sicurezza, visto che permettono di filtrare il traffico anche all’interno degli stessi segmenti di rete.

Il firewall di Windows

Il firewall di Windows distingue tre tipologie di reti: rete di dominio (se la macchina Windows fa parte di un dominio AD), rete privata e rete pubblica. Il firewall può essere abilitato o disattivato e le sue regole definite su ciascuna di tali reti.

È inoltre possibile richiedere una notifica ogni volta che il firewall blocca una nuova app e bloccare tutte le connessioni in ingresso indipendentemente dalle regole definite, per esempio, come misura temporanea quando si è connessi ad una rete Wi-Fi pubblica.

Il firewall di Windows permette di definire regole, in entrata e in uscita, per applicazioni oppure, in maniera più classica, per protocollo, porta, indirizzi IP.

Sulle nuove versioni di Windows sono già definite per il firewall regole che consentono il traffico di rete per le applicazioni principali.

Il firewall potrebbe quindi essere utilizzato con la configurazione di default, senza necessità di definire manualmente nuove regole. È inoltre possibile creare nuove regole in seguito ad una nuova notifica di blocco per una certa app; quando il firewall notifica che è stato bloccato il traffico per una certa app, se l’app è conosciuta è possibile abilitarla.

Vediamo ora più in dettaglio, attraverso i seguenti screenshot autoesplicativi, quali sono i parametri utilizzabili per definire una nuova regola.

Il firewall di Linux

Sui sistemi Linux il firewall è presente praticamente da sempre, con diversi software che si sono affiancati e succeduti, tutti in costante evoluzione.

Sebbene siano disponibili diverse tipologie di software firewall, qui accenneremo a in particolare a netfilter/iptables, il prodotto con la storia più lunga e il più utilizzato.

Nato come firewall di tipologia packet filtering, netfilter è diventato stateful e, pur senza essere un application firewall, ha integrato man mano la possibilità di definire regole anche per i protocolli applicativi.

Netfilter è una componente del kernel Linux che ne estende le funzionalità di routing e filtering. Per interagire con netfilter a livello utente viene usato il comando iptables. Netfilter si basa sui concetti di tabelle, catene e regole: ogni tabella è formata da catene, ovvero punti di controllo, e ogni catena è formata da regole (ACL).

Le tabelle principali sono tre:

  • filter: è la tabella che contiene le regole di filtraggio vere e proprie dei pacchetti che l’host origina e riceve o che transitano dall’host stesso;
  • nat: consente di effettuare il NAT (Networking Address Translation) degli indirizzi IP o del valore della porta sorgente o di destinazione;
  • mangle: usata per effettuare alterazioni particolari dell’header IP (TTL, TOS, MARK); particolarmente interessante è il target MARK, che permette di marcare il pacchetto, in modo da essere trattato diversamente nei successivi punti di controllo o da altri programmi.

Le catene predefinite sono le seguenti:

  • INPUT: operazioni su pacchetti appena giunti e diretti all’host stesso;
  • FORWARD: operazioni su pacchetti che transitano dall’host per essere inoltrati;
  • OUTPUT: operazioni su pacchetti generati localmente che stanno per uscire dall’host;
  • PREROUTING: operazioni su pacchetti appena giunti all’host, prima della decisione di routing;
  • POSTROUTING: operazioni su pacchetti che stanno per uscire dall’host.

Nuove catene possono essere inoltre definite dall’utente. Ogni catena ha una policy di default.

Le regole, infine, hanno la forma di ACL, vengono scorse dalla prima all’ultima e al primo match viene deciso cosa fare del pacchetto e, tranne casi particolari, si interrompe l’analisi delle regole della catena. Se per nessuna regola c’è il match si esegue la policy di default. In fase di definizione della regola andranno quindi indicati la tabella e la catena di cui la regola fa parte, i criteri di applicazione ai pacchetti e un target, ovvero il destino del pacchetto nel caso soddisfi il match. Esempi di target sono i seguenti:

  • ACCEPT: il pacchetto viene accettato;
  • DROP: il pacchetto viene scartato;
  • REJECT: stesso effetto di DROP, ma viene inviato in risposta un messaggio di errore ICMP di tipo “port unreachable”;
  • Catena creata dall’utente: il controllo passa ad una catena creata dall’utente.

Conclusioni

I firewall continuano a rappresentare un componente importante della sicurezza aziendale, sebbene non ne siano più il pilastro. Nel corso degli anni i firewall hanno infatti continuato ad evolvere per tenere conto delle diverse minacce che sono apparse.

Nel contesto attuale è importante valutare le tipologie di firewall più adatte all’azienda, valutando anche la loro collocazione, la capacità di integrazione e comunicazione con gli altri dispositivi di sicurezza aziendale in base alle necessità di protezione dell’azienda, alle dimensioni, alla topologia della rete aziendale.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Infine, sebbene la presenza di uno o più firewall Enterprise sia imprescindibile per l’azienda, come misura aggiuntiva è bene non trascurare la possibilità di attivare e utilizzare i firewall personali sia sui server che sulle postazioni di lavoro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5