Elementi di difesa informatica, in grado di proteggere computer e reti, i firewall si presentano in vari tipi che è bene conoscere per scegliere l’opzione più adatta per le proprie esigenze aziendali.
Ci sono diversi tipi di firewall, strumenti dalla storia ormai quarantennale ed elementi cardine della sicurezza IT, privata e aziendale. Questi “dispositivi di connessione tra reti che limitano il traffico di comunicazione dati tra due reti connesse”, come li definisce il NIST, sono utilizzati per monitorare le connessioni tra reti di computer. Una delle prime risposte alle attività dannose perpetrate attraverso Internet, i firewall sono divenuti componenti standard delle reti aziendali, governative e personali, come anche i sistemi di prevenzione delle intrusioni (IPS).
Tipi di Firewall
I firewall forniscono protezione contro gli attacchi informatici esterni proteggendo il computer o la rete dal traffico di rete dannoso o non necessario. Inoltre, possono impedire a software dannoso di accedere a un computer o a una rete tramite Internet.
Esistono tre tipi di firewall in base a come decidi di distribuirli: hardware, software e cloud-based. Ci sono poi cinque tipi di firewall in base al metodo di funzionamento:
- packet filtering firewall
- Circuit-level gateway
- Stateful inspection firewall
- Proxy firewall
- Next-generation firewall (NGFW)
A questi se ne aggiungono altri due: NGFW incentrato sulle minacce e Firewall NAT. Aggiungiamo qui anche il firewall perimetrale, un dispositivo di sicurezza che difende il confine tra una rete privata e pubblica.
Vediamoli ora nel dettaglio, per conoscere le caratteristiche e gli elementi vincenti e le criticità di ognuno.
Firewall hardware
Chiamati firewall di rete, questi dispositivi fisici sono posizionati tra computer e Internet (o altra connessione di rete). Molti fornitori e alcuni Internet service provider offrono router integrati che includono anche funzionalità firewall. I firewall basati su hardware sono particolarmente utili per proteggere più computer e controllare l’attività di rete che tenta di attraversarli.
Per alcune piccole e medie imprese, un firewall hardware può risultare eccessivo. I firewall hardware sono una scelta eccellente per le organizzazioni più grandi con diverse sottoreti contenenti più computer.
Il vantaggio dei firewall basati su hardware è che forniscono un’ulteriore linea di difesa contro gli attacchi che raggiungono i sistemi informatici desktop. La configurazione e la gestione richiedono più competenze rispetto ai firewall basati su software.
Firewall software
Un firewall software (o un firewall host) si installa direttamente sul dispositivo host. Questo tipo di firewall protegge solo una macchina (endpoint di rete, PC, laptop, server…), quindi gli amministratori devono installare una versione del software su ciascun dispositivo che desiderano proteggere. Poiché gli amministratori collegano un firewall software a un dispositivo specifico, non è possibile evitare l’utilizzo delle risorse. Questi firewall inevitabilmente consumano parte della RAM e della CPU del sistema, che può essere un problema per alcuni casi d’uso.
Tra i vantaggi dei firewall software vanno considerati la protezione eccellente per il dispositivo assegnato e sicurezza granulare in cui un amministratore ha il controllo completo sui programmi consentiti. Come punti critici vanno segnalati il consumo di CPU, RAM e spazio di archiviazione del dispositivo e la manutenzione complessa.
Firewall cloud-based
Sono detti anche firewall-as-a-Service e vengono eseguiti come IaaS o PaaS, i firewall cloud-based rappresentano un’opzione ottimale per imprese altamente distribuite, team con lacune nelle risorse di sicurezza e aziende senza le necessarie competenze interne.
Come le soluzioni basate su hardware, i firewall cloud eccellono nella difesa perimetrale, ma si possono anche configurare in base al singolo host.
Packet filtering firewall
I firewall “a filtraggio dei pacchetti” fungono da punto di controllo a livello di rete e confrontano le informazioni sull’intestazione di ciascun pacchetto con una serie di criteri prestabiliti. Operano in linea nei punti di giunzione dove dispositivi come router e switch svolgono il loro lavoro. Tuttavia, questi firewall non instradano i pacchetti; piuttosto confrontano ciascun pacchetto ricevuto con una serie di criteri stabiliti, come gli indirizzi IP consentiti, il tipo di pacchetto, il numero di porta e altri aspetti delle intestazioni del protocollo del pacchetto. I pacchetti contrassegnati come problematici vengono, in generale, eliminati rapidamente.
I packet filtering firewall sono ideali per le piccole organizzazioni che richiedono un livello base di sicurezza contro minacce consolidate. Estremamente veloci ed efficienti nella scansione del traffico, oltre che poco costosi hanno un difetto: non sono un’opzione ideale per ogni rete e potrebbero non fornire il livello di sicurezza necessario per ogni caso d’uso. Inoltre sono vulnerabili agli attacchi di spoofing dell’IP poiché elaborano ciascun pacchetto in modo isolato.
Circuit-level gateway
Questi componenti operano al livello OSI della sessione e monitorano TCP (Transmission Control Protocol) gli handshake tra host locali e remoti. Come i firewall di filtraggio dei pacchetti, con pochissime risorse, eseguono l’attività di controllo singolo. Elaborano solo le transazioni richieste e rifiutano tutto il resto del traffico. Inoltre, l’obiettivo principale di questo firewall è determinare la sicurezza delle connessioni stabilite.
Questo tipo di firewall approva o rifiuta rapidamente il traffico senza consumare molte risorse. Tuttavia, questi sistemi non controllano i pacchetti, quindi anche le richieste infette da malware ottengono l’accesso se esiste un corretto handshake TCP.
Semplice da configurare e gestire, oltre che efficiente in termini di risorse e di costi, hanno come limite il fatto di fornire soluzioni di sicurezza incomplete poiché non possono controllare il contenuto dei pacchetti di dati. Pertanto, il malware all’interno dei pacchetti di dati può facilmente aggirare il gateway a livello di circuito e quindi viene configurato un altro tipo di firewall.
Stateful inspection firewall
Definiti anche “firewall a filtraggio dinamico dei pacchetti” monitorano i pacchetti in entrata e in uscita a livello di rete e di trasporto. Questo tipo di firewall combina l’ispezione dei pacchetti e la verifica dell’handshake TCP. Hanno alcune funzionalità extra rispetto ai gateway a livello di circuito. Stateful inspection firewall tengono traccia delle connessioni stabilite ed eseguono l’ispezione dei pacchetti di dati per garantire la sicurezza. Funzionano sugli IP di destinazione e di origine, creando una tabella di stato. Invece, stabiliscono le proprie direttive per consentire l’ingresso nel traffico in base a un insieme di regole codificate basate sulle informazioni.
Questi firewall mantengono una tabella database che tiene traccia di tutte le connessioni aperte e consente al sistema di controllare i flussi di traffico esistenti. Più costosi dei packet filtering firewall a, richiedono un grado di abilità elevato per essere impostato correttamente e possono incidere negativamente sulle prestazioni e portare a latenza di rete.
Firewall proxy
Questo tipo di dispositivo funziona come unico punto di ingresso e punto di uscita dalla rete. Filtra i pacchetti non solo in base al servizio a cui sono destinati, come specificato dalla porta di destinazione, ma anche in base ad altre caratteristiche, come la stringa di richiesta HTTP.
Aiuta a rilevare la rete dannosa proveniente dall’esterno prima di entrare nella rete aziendale. Inoltre, se il cliente vuole aderire alla rete, deve inviare una richiesta. Pertanto, la richiesta viene quindi passata attraverso il firewall proxy. E se l’offerta viene verificata, viene inoltrata a uno dei dispositivi interni.
I firewall proxy sono l’opzione di riferimento per le aziende che cercano di proteggere un’applicazione web da utenti malintenzionati. Questi sistemi sono popolari anche quando un caso d’uso richiede l’anonimato della rete.
Per contro va segnalata una maggiore latenza grazie a controlli approfonditi dei pacchetti e passaggi di comunicazione aggiuntivi. Inoltre non è conveniente come altri tipi di firewall a causa dell’elevato sovraccarico di elaborazione. Può essere considerato difficile da impostare e gestire.
Firewall di nuova generazione (NGFW)
Offre funzionalità di sicurezza aggiuntive rispetto ai firewall tradizionali, che presentano alcune restrizioni e non possono fornire una sicurezza completa ai pacchetti di dati.
NGFW è un dispositivo o programma di sicurezza che combina diverse funzioni di altri firewall. Un tale sistema assicura un’ispezione approfondita dei pacchetti che analizza il contenuto del traffico, e un’ispezione dei pacchetti a livello superficiale. Inoltre svolge anche la scansione e il filtraggio del malware.
Più costoso di altri firewall, richiede un elevato livello di esperienza per la configurazione e l’esecuzione.
Threat-focused NGFW
Un NGFW incentrato sulle minacce include tutte le funzionalità di un NGFW tradizionale. Inoltre, fornisce anche il rilevamento e la risoluzione avanzati delle minacce. Questo tipo di firewall è in grado di reagire rapidamente agli attacchi. Con l’automazione intelligente della sicurezza, stabilisce regole e politiche di sicurezza, aumentando ulteriormente la sicurezza del sistema di difesa complessivo.
Inoltre, threat-focused NGFW utilizza sistemi di sicurezza retrospettivi per monitorare continuamente le attività sospette e continua ad analizzare il comportamento di ogni attività anche dopo l’ispezione iniziale. Grazie a questa funzionalità, riduce drasticamente il tempo complessivo impiegato dal rilevamento delle minacce alla rimozione.
Firewall NAT (Network Address Translation)
Sono firewall progettati principalmente per accedere al traffico Internet e bloccare tutte le connessioni indesiderate. Di solito nascondono gli indirizzi IP dei dispositivi su cui sono alloggiati, rendendoli al sicuro dagli aggressori.
Quando vengono utilizzati più dispositivi per connettersi a Internet, i firewall NAT creano un indirizzo IP univoco e nascondono le impostazioni dei singoli dispositivi. Di conseguenza, per tutti i dispositivi viene utilizzato un unico indirizzo IP. In questo modo, proteggono gli indirizzi di rete indipendenti dagli aggressori che scansionano una rete per accedere agli indirizzi IP. Ciò si traduce in una maggiore protezione contro attività e attacchi sospetti.
In generale, i firewall NAT funzionano in modo simile ai firewall proxy. Come questi ultimi, anche i firewall NAT funzionano come dispositivo intermedio tra un gruppo di computer e il traffico esterno.
Quale tipologia di firewall è più adatta all’azienda?
Come abbiamo visto, ci sono svariati tipi di firewall. Scegliere la soluzione ideale, per elevare la network security, significa rispondere a varie domande quali: cosa deve proteggere il firewall? Quali risorse ha l’azienda? come è architettata l’infrastruttura? Va anche considerato un altro aspetto: il firewall ottimale per un’organizzazione potrebbe non essere adatto per un’altra. Diversi tipi di firewall presentano alcuni vantaggi e alcune limitazioni.
Potremmo dire che il firewall di nuova generazione (NGFW) è una soluzione completa di tutte le soluzioni, con prestazioni di sicurezza molto buone, ma sconta un budget elevato. C’è da domandarsi, però, quanto si è disposti a perdere in termini di sicurezza e di costi aggiuntivi per recuperare al danno avvenuto…
Quindi, quando si tratta di selezionare la migliore architettura firewall, è sempre meglio puntare alla soluzione ottimale, chiedendo indicazioni a più società o professionisti. Una prima raccomandazione utile è adottare una combinazione di firewall diversi per aggiungere più livelli di protezione.
Inoltre, la selezione dipende solitamente dai requisiti di qualsiasi organizzazione. Tuttavia, per la giusta scelta del firewall possono essere presi in considerazione tre fattori: disponibilità di risorse,
dimensioni aziendali, tipo di traffico da monitorare, requisiti di protezione.
Se si ha una congrua disponibilità di risorse e ci si può permettere un firewall separato per ciascun componente hardware, questa è una opzione da considerare attentamente. Inoltre, un firewall cloud-based potrebbe essere un’altra considerazione.
In termini di dimensioni aziendali, se un’organizzazione è grande e mantiene una grande rete interna, è meglio implementare un’architettura firewall in grado di monitorare l’intera rete interna. Viceversa, se piccola, può considerare opzioni più agili.
Che tipo di controlli del traffico sono necessari? È una questione da ponderare in quanto alcune applicazioni potrebbero richiedere il monitoraggio di tutto il contenuto dei pacchetti. Altre, invece, possono semplicemente ordinare i pacchetti in base agli indirizzi e alle porte di origine/destinazione.
Infine, a proposito di requisiti di protezione, il numero e il tipo di firewall dipendono in genere dalle misure di sicurezza richieste da una rete interna. Ciò significa che, se un’organizzazione conserva dati sensibili, è meglio implementare una protezione multilivello dei firewall, mettendosi al riparo da cyber delinquenti.
