Nel labirinto dei firewall

Sicurezza

Capire i firewall, come funzionano, dove vanno collocati e come interpretare
i log generati è alla base di una corretta politica di sicurezza aziendale

Fisicamente, nella vita reale, un firewall (“parete tagliafuoco”) è una struttura intesa ad impedire la diffusione degli incendi. Negli edifici i firewall sono i muri in mattone, pareti divisorie o getti d’acqua lineari in grado d’isolare in sezioni gli ambienti, separando eventualmente le fiamme che si sono sviluppate in una sezione dalle altre stanze. I firewall utilizzati nelle reti e verso Internet sono stati identificati con lo stesso termine, grazie alla loro funzione di isolamento tra reti differenti o tra la propria rete aziendale e Internet. Attenzione che anche un singolo PC può essere difeso con un firewall locale che regola gli accessi tra il PC, la rete e viceversa. Fondamentalmente i firewall sono usati con due scopi:

– tenere fuori la gente (worm / cracker) – tenere dentro la gente (dipendenti / bambini) Come tutte le cose, prima di procedere all’implementazione fisica di una politica di sicurezza basata sull’utilizzo di un firewall è necessaria un’attenta fase di pianificazione. E’ necessario quindi procedere all’identificazione di una serie di elementi:

– determinare di quali servizi si ha bisogno – determinare il gruppo di persone che si vuole servire – determinare a quali servizi ogni gruppo ha necessità di accedere – per ciascun gruppo descrivere come si potrebbe rendere sicuro il servizio – scrivere un’espressione che renda tutte le altre forme di accesso una violazione

Configurazioni basate su firewall

La scelta di un firewall deve orientarsi, in primo luogo, su quelli che offrono un controllo adeguato anche sul traffico in uscita. Fondamentalmente Esistono due tipologie di firewall:

– Firewall Filtranti – che bloccano i pacchetti di rete selezionati – Proxy Server – che realizzano le connessioni di rete per voi

In generale comunque, nelle aziende è comune utilizzare firewall di tipo stateful inspection (SPI, Stateful Packet Inspection). In molti ambienti, da alcuni anni i firewall SPI hanno sostituito i packet filter, e la maggior parte dei moderni firewall ha questo approccio. La principale differenza tra i due tipi di firewall sta nel fatto che i sistemi con stateful inspection possiedono una tabella di stato che permette loro di tenere traccia di tutte le connessioni aperte che attraversano il firewall. In questi casi, il traffico nel firewall viene confrontato con la tabella di stato, determinando se fa parte di una connessione già stabilita. Di fatto, l’SPI è in grado di controllare non solo l’header del pacchetto, ma anche il contenuto. Attualmente, l’unico caso in cui è consigliabile il packet filter è quello del router Internet. Questi dispositivi spesso implementano una semplice regola di filtro dei pacchetti sulla base delle informazioni contenute nell’header per escludere, ovviamente, il traffico indesiderato e ridurre il flusso dati su un firewall SPI che agisce subito al di là del router.

L’importanza dei log

Coloro che installano un firewall rimangono spesso scioccati dal numero di messaggi d’allerta che il programma, a seconda delle caratteristiche specifiche, restituisce loro dopo l’installazione e dopo i primi istanti di funzionamento operativo. In realtà è sufficiente analizzare le informazioni che il firewall stesso fornisce per capire quale situazione più o meno pericolosa si sia determinata. Nel caso di trasmissione di malicious code o virus, o nel caso di tentato accesso fraudolento, le aziende devono poter bloccare il traffico non autorizzato. La maggior parte delle aziende utilizzano i firewall che, se propriamente aggiornati e manutenuti, servono a bloccare il traffico illecito e a creare log dettagliati per tutto il traffico in entrata ed in uscita. Se analizzati correttamente, i log dei firewall possono evidenziare attacchi di Denial of Service (DoS) o altre attività sospette. Tuttavia, poche aziende analizzano questi log e anche quelle che lo fanno, lo fanno poco frequentemente. Quindi, molti tentativi di attacco passano inosservati, dando agli hacker un’elevata probabilità di superare la barriera rappresentata dai firewall. La firewall log analysis è un’operazione complessa che richiede il controllo simultaneo di migliaia di eventi. I processi automatizzati di oggi possono filtrare la stragrande maggioranza degli eventi, identificando soltanto quelli che sono abbastanza sospetti da richiedere un’ulteriore analisi da parte di un esperto. L’analista distingue un attacco dal normale traffico e, nel caso di un attacco certo, può cambiare proattivamente la firewall policy aggiornando tutti i sistemi di network intrusion detection.

Conclusioni

Si fa in fretta a dire Firewall. Non basta infatti limitarsi a installare un firewall nella propria architettura di rete aziendale per essere sicuri di aver attivato un’efficace politica di sicurezza aziendale. Prima di tutto le caratteristiche del firewall devono essere scelte in linea con le dimensioni, le esigenze aziendali e la tipologia di architettura che si desidera implementare. In seconda battuta è necessario mantenere costantemente aggiornato il dispositivo. Per essere efficaci infatti, le “signatures” (o “firme”) devono essere aggiornate regolarmente per rilevare le ultime tipologie di attacco e le policy di sicurezza possono aver bisogno di modifiche, ogni volta che nuove macchine vengono aggiunte alla rete. Infine per rendere efficace il lavoro svolto dal dispositivo scelto è necessario effettuare una costante analisi dei log generati, alla ricerca di traffico anomalo.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore