Firewall

Ma chi ci garantisce che una volta installato un firewall svolga al meglio il suo compito per proteggere la nostra rete? Non è semplice rispondere, ma sicuramente la sua efficacia dipende sempre dall’affidabilità del prodotto, dal modo in cui viene installato e configurato, dagli aggiornamenti e controlli periodicamente effettuati.

Vediamo come funziona.

Per poter bloccare il traffico indesiderato o gli attacchi di malintenzionati da internet è necessario che il firewall sia in grado di analizzare il contenuto di ogni pacchetto che lo attraversa senza “pesare” troppo sulla velocità di risposta.
Lo “stato dell’arte” nelle tecniche di firewalling è rappresentato dai sistemi basati sulla “stateful inspection” che, rispetto ad altri sistemi, garantisce sicurezza e prestazioni ottimali. I sistemi di firewalling quali il packet filtering e gli application-layer gateway, presentano alcuni limiti. I firewall packet filter analizzano i singoli pacchetti indipendentemente dal contesto di comunicazione del quale fanno parte: per questo motivo rappresentano sì un sistema ad alte prestazioni, ma incapace di effettuare decisioni sulla base delle applicazioni implicate nella comunicazione o in relazione alle sessioni di comunicazione già attive. Gli application-layer gateways, d’altra parte, pur consentendo un controllo contestuale delle comunicazioni, agiscono “proxando”, attraverso il firewall, ogni sessione di comunicazione tra il richiedente ed il destinatario. Questo approccio riduce in maniera significativa le prestazioni del firewall. A differenza di altre soluzioni di sicurezza, l’architettura stateful inspection utilizza le informazioni di stato generate dalle comunicazioni precedenti e dalle applicazioni per definire un contesto, memorizzato e aggiornato in maniera dinamica, sulla base del quale effettuare le decisioni sul controllo del traffico; è in grado quindi di eseguire azioni di controllo approfondito sulle comunicazioni, consentendo di implementare puntualmente le policy di sicurezza stabilite.

Alcune tipologie di attacco

DoS (Denial of Service) è un tipo di attacco che non mira alla distruzione o al furto di dati ma all’interruzione del servizio. Ping of Death è uno degli attacchi DoS più noti e più semplici: si tratta di inviare all’host preso di mira un pacchetto ICMP con un carico di dati maggiore di 64Kb. Questo tipo di “bombardamento” è una tecnica abbastanza vecchia e superata.
SYN Flood (traduzione letterale “inondazione di pacchetti di tipo Syn”): tutte le volte che viene richiesta da un programma l’apertura di una connessione di tipo TCP tra due host; questa avviene seguendo una serie di passi, il primo host invia un pacchetto che contiene una richiesta SYN (richiesta di sincronia), la macchina a cui viene spedito il pacchetto risponde con un pacchetto che contiene messaggi di SYN e ACK (acknowledge) come risposta, la terza fase della procedura prevede la risposta del primo host con un nuovo messaggio di ACK in modo da far partire la sessione. Con un semplice programma è possibile richiedere l’apertura di diverse migliaia di connessioni al secondo senza mai confermarne la sessione, queste richieste multiple “inondano” il server, ne consumano rapidamente tutta la memoria fino al blocco o al crash del sistema.
IP Spoofing è una tecnica di attacco molto complessa, in pratica, chi attacca cerca di collegarsi ad un server o ad un host “rubando l’identità” di una macchina nota. In una prima fase viene “bloccata” una macchina con un attacco DoS, quindi si presenta alla vittima con l’identità della macchina bloccata (questo avviene simulando il traffico di ritorno che il vero host non sta più generando). Questa tecnica viene generalmente utilizzata per guadagnare l’accesso di amministratore su una rete protetta.
I firewall vengono affiancati sempre più spesso da altre applicazioni che integrano e intensificano le politiche di sicurezza. I server proxy sono un esempio ormai consolidato. I due prodotti sono funzionalmente e concettualmente diversi: il firewall controlla il traffico di rete e verifica la conformità delle regole definite aprendo o meno un canale di comunicazione tra il client di rete e il server remoto. Il proxy, invece, raccoglie la richiesta del client delle rete ed apre direttamente una sessione con l’host remoto, recupera l’informazione e la rigira al richiedente.
I firewall possono gestire connessioni VPN (Virtual Private Network). Queste ultime sono dei collegamenti stabiliti tra client e firewall o firewall e firewall in modo da garantire lo scambio dei dati con la massima sicurezza. Le reti da connettere in modo “sicuro” attraverso VPN possono essere dislocate nella stessa località o in località remote su scala regionale, nazionale o internazionale. Per stabilire la connessione vengono utilizzate varie tecnologie di crittografia avanzata.
Con una VPN si ha quindi la massima garanzia che solo i soggetti autorizzati possano accedere alla rete e che ogni informazione trasmessa, essendo cifrata, è protetta da eventuali tentativi di intercettazione e decodifica transitando in internet. Il nostro team è in grado di analizzare la realtà del cliente e proporre la migliore soluzione di sicurezza in termini di efficienza e continuità del servizio.