Sicurezza Delle Reti - Il Firewall Di Rete

[Alexsandra]

<h3 align="center">Introduzione al Firewall</h3> Oggi la realtà informatica è una realtà che ha avuto una fortissima espansione trovando applicazione, sviluppo e sostegno in quasi tutte le realtà casalinghe ma soprattutto in quelle produttive. Sono proprio quest'ultime che hanno intravisto nell'office automation e nell'informatizzazione dei loro processi produttivi un abbassamento ed una standardizzazione della loro produzione con un chiaro e forte abbassamento dei costi di gestione, in particolare a livello amministrativo.

Da notare è come al giorno d'oggi, anche le piccole realtà aziendali che non fanno parte della cosiddetta fascia industriale stiano informatizzando le loro amministrazioni e i loro uffici e investendo annualmente dei capitali solo per la sicurezza dei loro dati sensibili, e delle loro piccole infrastrutture informatiche. In quest'ottica è facile capire che la tematica della sicurezza giochi un ruolo fondamentale nelle produzioni e nelle gestioni informatizzate perché permette di aumentare i guadagni ma soprattutto di prevenire le perdite che possono derivare da malfunzionamenti, problemi generici oppure dal furto di dati strettamente riservati e utili alla concorrenza come spesso mi è capitato durante le mie esperienze nel mondo del lavoro informatico.

Su questa tematica possiamo approfondire che la sicurezza informatica è essenziale per le aziende e di come le stesse molto spesso abbiano richiesto soluzioni particolari che rispecchiano determinate caratteristiche e esigenze stabilite dall'utente finale che ne usufruisce e in quest'ottica possiamo dire che la sicurezza può essere divisa in due grandi famiglie

• Sicurezza Client-Side
  
• Sicurezza Server-Side
  

Dietro a queste due grandi famiglie si nascondo processi, metodologie, tipologie di approccio e soluzioni differenti che possono essere semplici oppure estremamente complesse, ed in base alla complessità varia anche il costo che il sistema ha in sé anche se nelle realtà aziendali il costo viene messo spesso al secondo posto dietro l'efficienza e affidabilità di una procedura di sicurezza aziendale.

In questa tesi per il mio esame di stato parlerò di un componente silenzioso, comune e ormai noto a tutti gli utenti che lavorano con dati informatici di una certa rilevanza: Il Firewall.

Il firewall è ormai un componente basilare in una infrastruttura sistemistica, e nonostante molto spesso sia considerato uno strumento perimetrale o per la sicurezza server-side, esso risulta invece il fido e utile compagno di viaggio per le aziende che intendono proteggere le loro reti perché il firewall può rappresentare l'unico punto di accesso verso l'esterno e come tale, se implementato opportunamente, risulta basilare per proteggere una rete e per evitare la violazione delle policies aziendali anche dall'interno.

Questo in termini di guadagno rappresenta un fattore discriminante per una azienda, perché molto spesso la violazione delle policies, e la violazione dei dati avviene proprio a parte degli utenti aziendali che utilizzano le risorse messe a disposizione dalla stessa in maniera errata mettendo a rischio l'incolumità della rete; ed è proprio in questo contesto che esporrò il funzionamento di un firewall e una procedura pratica che ho messo in atto durante questi anni di esperienza nel mondo del lavoro per venire incontro alle esigenze di molte aziende.

Le caratteristiche di un firewall che funzioni in maniera efficiente devono essere :

• Sicurezza
  
• Affidabilità
  
• Scalabilità
  
• Possibilità di updates e integrazione delle nuove tecnologie
  
• Contenimento dei costi
  

<h3 align="center">Cos'è un Firewall : terminologia</h3>

Innanzitutto, prima di cominciare ad esporre l'argomento, cominciare con l'introdurre alcuni termini comuni per chi naviga in Internet o lavora nel campo sistemistico; ma che risultano molto spesso concepiti erroneamente e senza sapere cosa in realtà essi vogliano dire in gergo tecnico.

Terminologia

Antivirus : software che permette di rilevare e prevenire l'installazione di codice maligno o files nocivi all'interno di un computer. Un antivirus rappresenta la punta del'iceberg di un sistema sicuro, sia dal lato client che dal lato server. Un antivirus è composto da diversi moduli:

• Modulo di confronto contenuto con le firme
  
• Modulo euristico per rilevamento virus in base al loro comportamento o intestazione(per ovviare alla mancanza di firme aggiornate)
  
• Modulo per gli aggiornamenti
  
• Modulo di scansione della memoria
  

Alcuni antivirus più evoluti integrano anche moduli per bloccare temporaneamente(ed eventualmente concedere o negare definitivamente) la scrittura di valori nel registro(per i prodotti Microsoft) o in apposite aree di sistema(per tutti i sistemi operativi in commercio).

Firewall : dall'inglese muro tagliafuoco ma in italiano detto anche parafuoco; è un componente sistemistico perimetrale passivo, che divide in due o più tronconi la rete:

• Area Trusted, cioè sicura - LAN
  
• Area Untrusted cioè la rete Esterna che rappresenta tutto ciò che è ritenuto non attendibile o sicuro - Internet
  
• Zona Delimitarizzata - DMZ
  

AntiSpam : software che è in grado di filtrare i contenuti di un messaggio di posta elettronica in base al loro contenuto o alla loro provenienza. Questi strumenti non sono ancora evoluti come dovrebbero, però certi applicativi permettono una versatilità grazie alla creazione di regole personalizzate che li rendono utili per proteggere account aziendali dallo spam e dal pericolo di incursioni di codici malevoli tramite contenuti contrassegnati come sicuri tramite il vicolo della posta elettronica.

Personal Firewall : software che solitamente viene usato a livello client-side, e che svolge più o meno completamente tutte le funzioni che svolge un firewall di rete. I Personal firewall tuttavia lavorano stand-alone e non a livello di infrastruttura e si frappongono tra un client e l'esterno indiscriminatamente, permettendo di bloccare anche determinati processi attraverso l'utilizzo regole personalizzate o predefinite per autorizzare certe applicazioni e anche la loro destinazione verso le zone insicure in maniera flessibile e precisa a cura dell'utente utilizzatore o amministratore del client. Caratteristica dei personal firewall è anche il controllo di ogni processo di sistema che voglia uscire verso l'esterno o lanci una connessione verso l'esterno.

IDS ( Intrusion Detection System) : componente software(spesso accoppiato ad un firewall hardware nelle reti aziendali) che permette di rilevare i tentativi di attacco ad una rete analizzando non solo l'intestazione dei pacchetti che attraversano un ipotetico gateway, ma anche analizzando il loro contenuto per identificare anche tentativi di attuazione di exploit come SQL Inejction, attacchi DoS e port-scan ai client interni.

Gli IDS rappresentano anche un'ottima alternativa per bloccare i pericoli provenienti dall'interno da parte degli utenti "fidati" che possono aprire varchi nella rete utilizzando programmi semi-automatici inappropriati o insicuri.

Indirizzo IP : indirizzo logico introdotto con la suite di protocolli TCP/IP composto da quattro ottetti di un byte ciascuno, che formano un indirizzo complessivo di quattro byte(192.168.0.1). Un indirizzo IP identifica univocamente un pc in una rete, perché due pc non possono avere lo stesso indirizzo logico

Subnet Mask : definita comunemente maschera di sottorete, è un parametro fondamentale nella configurazione dei parametri di rete di un PC perché indica al computer se deve instradare i pacchetti verso il gateway per raggiungere la destinazione oppure no. Solitamente è composta come un indirizzo IP in termini di lunghezza.

Gateway : indirizzo IP solitamente assegnato al punto di accesso che permette ai computer di una rete di uscire dalla stessa e accedere alle risorse esterne. Molto spesso il gateway è un router, un server oppure il firewall.

DNS (Domain Name Solve) : solitamente il DNS è quel dispositivo, è un computer in genere, che si incarica di risolvere i nomi host (es:: www.google.it) in indirizzi IP comprensibili per il computer. Nei parametri di configurazione di una computer, l'indirizzo DNS non è altro un indirizzo IP che punta al computer che si utilizzerà per risolvere i nomi in indirizzi IP.

Hacker : è una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte, non limitatamente ai suoi ambiti d'interesse ma in tutti gli aspetti della sua vita. In campo informatico è colui che si diverte a violare i sistemi non per fare danni, ma per mettere alla prova se stesso e le sue capacità senza fare danni alle sue "vittime".

Cracker : è colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli, lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete o per carpire informazioni utili che possono fargli trarre profitto. In genere un cracker crea danni alle sue "vittime"

Lamer : è colui che sfruttando sistemi automatici, o semi-automatici, creati da hacker o cracker esperti(comunque persone che conoscono l'informatica), riesce a violare i sistemi senza avere particolari conoscenze o abilità informatiche. In gergo lamer significa perdente.

Ora che ho chiarito anche alcuni termini comuni che riprenderò successivamente, comincerò ad entrare nel vivo dell'argomento che ho deciso di trattare : Il Firewall di rete

Tipologie

Come ho accennato precedentemente il firewall di rete è un sistema oppure un insieme di sistemi, passivi che solitamente dividono la rete in due o più parti:

• Zona Trusted - - LAN
  
• Zona Untrusted - - Internet
  
• Eventuale DMZ
  
• Eventuale rete Wireless
  

Il firewall rappresenta un componente indispensabile per proteggere la propria rete, anche se però comporta delle spese e dei problemi perché se esso non viene configurato correttamente e implementato in maniera corretta può rappresentare un problema all'infrastruttura e diminuire quindi la sicurezza e le prestazione della stessa.

Ritornando alla teoria generale di base, i firewall di rete possono essere di diversi tipi, per esempio:

• Packet Filter
  
• Stateful Inspection
  
• Application Layer Firewall
  

In entrambi tutti questi casi, il firewall rappresenta generalmente il punto di passaggio del traffico dalla LAN verso l'esterno o viceversa, e può essere segmentato da un ulteriore firewall se l'azienda vuole disporre una DMZ e quindi avere un gruppo di regole precise sia per l'area delimitirazzata(DMZ) che per l'area locale(LAN).

Firewall Packet Filter

Il packet Filter Firewall è una categoria di firewall molto più complicata rispetto agli altri. Questo tipo di firewall lavora a livello dell'Internet Protocol dello schema TCP/IP. Il Packet Filter Firewall quando riceve un pacchetto di dati lo compara con una serie di criteri prima di inoltrarlo o di rimandarlo al mittente. A seconda delle regole, il firewall può ignorare i pacchetti di dati, inoltrarli al sistema o rimandarli al mittente. I parametri che solitamente il packet Filter Firewall controlla nell'header del pacchetto sono l'indirizzo IP di origine e destinazione, numero della porta TCP/UDP di origine e destinazione e protocollo usato.

Solitamente i Packet Filter Firewall usano un processo chiamato Network Address Translation (NAT) che permette di reindirizzare correttamente i pacchetti di rete in uscita dal sistema verso internet.

Questo permette di nascondere la struttura della rete interna di una LAN, mascherando il pacchetto uscente come se provenisse da un host differente dal computer mittente della rete interna. Di solito il pacchetto nasconde dunque l'indirizzo ip assegnato al pc nella rete interna e assume l'indirizzo ip della connessione ad Internet.

Il packet Filter Firewall è la scelta migliore perché molto veloce e, proprio grazie a questa velocità e "superficialità" del controllo, non grava sulla connessione di rete e non la rallenta. Non è fondamentalmente legato al sistema operativo ma può essere configurato per funzionare su tutta la LAN, se messo alla fonte della connessione ad Internet.

Quindi per esempio, una e-mail contenente un virus può tranquillamente passare attraverso il firewall, se è consentito il traffico POP/SMTP. Non ha grandi possibilità di gestione dei dati all'interno del pacchetto dati, non prende decisioni in base al contenuto del pacchetto. Tutto ciò si trasforma in mancanza di scalabilità e piena efficienza per controlli approfonditi sulle attività interne alla LAN.

Vantaggi

• Efficienza
  
• Scalabilità
  
• Costo di acquisto contenuto
  

Svantaggi

• impossibilità di updates e di integrazione di nuove tecnologie
  
• Superficialità della protezione
  

<h3 align="center">Firewall Stateful Inspection</h3> I firewall hardware solitamente sono simili ai Packet filter Firewall, in quanto lavorano principalmente con la tecnica del Packet filtering. Possono usare anche un'altra tecnica chiamata Stateful Packet Inspection (SPI).

La SPI permette un controllo non solo dell'header del pacchetto dati, bensì permette anche di analizzarne il contenuto, per catturare più informazioni rispetto ai semplici indirizzi di origine e destinazione. Un firewall che utilizza questo tipo di tecnologia può analizzare lo stato della connessione e compilare le informazioni ottenute su una tabella così le operazioni di filtraggio dei pacchetti sono basate non solo su impostazioni definite dall'amministratore, ma anche sulla base di regole adottate con pacchetti simili scansionati già precedentemente dal firewall. Per il resto, i pregi e i difetti sono sostanzialmente quelli del packet filter firewall e quindi anche questa tipologia di firewall risulta minima in una infrastruttura adeguatamente protetta anche se questi tipi di firewall non rappresentano una soluzione applicabile per controllare tutta la LAN.

Vantaggi

• Affidabilità
  
• Efficienza
  
• Scalabilità
  
• Costi di mantenimento minori
  
• Costo di acquisto contenuto
  

Svantaggi

• Impossibilità di updates e di integrazione di nuove tecnologie
  
• Difficoltà di amministrazione
  
• Superficialità della protezione
  

Application Layer Firewall

Questa tipologia di firewall è forse la più evoluta che esiste sul mercato, e viene chiamata in gergo firewall L7 perché è una tipologia di firewall che lavora allo strato numero sette della pila ISO/OSI.

Questa famiglia di firewall, come ho detto precedentemente, è una tipologia particolare perché appartiene ai cosiddetti firewall-proxy di rete perché molto spesso consiste nell'impostare una macchina che colleghi la LAN all'esterno, consentendo solamente i protocolli conosciuti ed installati dall'amministratore, concedendo solamente i tipi di applicativi stabiliti nelle policies aziendali, oltre alle destinazioni verso l'esterno considerate sicure che saranno dichiarate in una lista definita white-list che si contrappone alle black-list che solitamente vengono catalogate per contenuto proibito(per esempio pornografia, warez, erotismo, pubblicità, hacking ecc ecc).

La particolarità di questi firewall proxy è di riuscire ad analizzare tutta l'intestazione applicativa dei pacchetti TCP, e di riuscire ad implementare i controlli dei firewall già descritti, ponendosi non solo come barriera tra una LAN e Internet, ma di riuscire a schermare tutti i client della LAN durante la loro navigazione sul World Wide Web. Questi firewall permettono di proteggere dal pericolo maggiore della navigazione Internet: il contenuto attivo delle pagine WEB, e di poter inoltre prevenire attacchi applicativi come SQL Inejction grazie alla possibilità di integrare degli IDS visto che questi tipi di firewall sono computer dedicati solitamente.

Questo sicuramente è il firewall di rete che ho potuto constatare come il più richiesto dalle aziende di medie dimensioni; dove si necessiti di un controllo e soprattutto di un filtraggio dell'uso delle risorse pubbliche come Internet che viene fatto da dipendenti aziendali.

Vantaggi

• Sicurezza
  
• Efficienza
  
• Affidabilità
  
• Scalabilità
  
• Possibilità di updates e integrazione di nuove tecnologie di detection
  

Svantaggi

• Costo
  
• Difficoltà di amministrazione
  
• Costi di mantenimento maggiori
  
• Grosse potenze di calcolo richieste
  

<h3 align="center">Introduzione alle Metodologie di Implementazione di un Firewall</h3> Ora che abbiamo descritto le tre grandi tipologie di firewall esistenti, per completare la parte teorica bisogna descrivere le varie tipologie di implementazione dei firewall, perché i firewall possono essere implementati in maniere particolari rendendolo utile oppure il collo di bottiglia della rete da proteggere. Le tipologie di implementazione vengono basate su due tipologie di approccio fondamentale che vengono impostate dall'amministratore:

• Tutto ciò che non è specificato è negato
  
• Tutto ciò che non è specificato è concesso
  

Il primo tipo di approccio ha il vantaggio di aumentare la sicurezza, ma lo svantaggio di rendere il firewall meno versatile e di poter creare problemi agli utenti nel caso essi debbano effettuare particolari operazioni che non sono state descritte nelle policies aziendali. La seconda metodologia di approccio è una metodologia che ha come vantaggio quello di essere più versatile verso gli utenti e quindi di richiedere meno modifiche da parte dell'amministratore nel caso i servizi aziendali debbano essere scalati per esigenza. Tuttavia questa metodologia è meno sicura e quindi espone l'infrastruttura a pericoli maggiori nel caso dell'errore informatico più comune e grave: l'errore umano.

Sicuramente la scelta dipende dall'amministratore, anche se solitamente, per evitare problemi futuri derivanti da viste o errori nelle policies aziendali, viene utilizzato un approccio che consiste nel far bloccare al firewall tutto ciò che non è stato specificato nelle sue tabelle di configurazione.

<h3 align="center">Tipologie di Implementazione dei Firewall di Rete</h3> Firewall come Filtro

Una implementazione del firewall di rete è quella di utilizzarlo come filtro, e forse è una delle funzioni ormai implementate nella maggior parte dei firewall di rete scalabili e dei Persona Firewall evoluti. Questa tipologia di implementazione è spesso considerata come primo punto di una infrastruttura di rete perché permette di sfruttare il NAT e quindi far filtrare qualsiasi connessione al firewall e mascherarla come a nome dello stesso denominando tutta la procedura come transparent firewalling implementato di default nel mondo open-source da sistemi come OpenBSD e FreeBSD.

" Questa metodologia è oramai richiesta basilarmente nelle medio-grandi realtà aziendali, perché permette di mascherare tutti gli usi fatti di Internet dall'interno verso l'esterno"

" Questo tipo di firewall è in grado di effettuare un'analisi state full a livello di connessione(quindi del protocollo IP di interconnessione implementato nella suite TCP/IP)"

<h3 align="center">Firewall come Gateway</h3> Questa metodologia di implementazione del firewall consiste nello sfruttare il firewall come unico punto di accesso verso l'esterno da parte di tutte le N sotto-reti o aree demilitarizzate presenti nell'infrastruttura LAN da proteggere.

Questo accorgimento consiste nel porre il firewall come unico punto di accesso vero l'esterno per la rete, o sotto-rete da proteggere, e ponendo il suo indirizzo IP come indirizzo di gateway su tutti i computer dell'area da esso protetta. In questo caso il firewall avrà N interfacce, cioè N schede di rete o porte ognuna configurata per appartenere alla propria sotto-rete o area di appartenenza che dovrà proteggere.

Guardando la figura qui a fianco come esempio, il firewall che protegge la rete interna avrà due interfacce di rete, una configurata con i parametri di configurazione(Indirizzo IP, Subnet Mask e Gateway) simili a quelli dei client della rete da proteggere; mentre la seconda interfaccia di rete sarà configurata similarmente all'interfaccia esterna alla quale è collegata: cioè alla DMZ alla quale appartengono i server Web e FTP. Il firewall che sta a monte dell'accesso Internet avrà due interfacce di rete: una configurata per appartenere alla DMZ e una che gestirà la zona esterna verso Internet. In casi particolari un firewall potrà avere anche N interfacce ovvero ognuna per ogni sotto-rete che deve interconnettere.

Questa metodologia di implementazione del firewall presuppone che il firewall svolga anche delle funzioni di routing perché dovrà decidere che percorso far fare, ai pacchetti nel caso un computer debba andare fuori dalla propria sotto-rete o area di appartenenza. Spesso questo tipo di firewall viene rappresentato da un computer dedicato, ma non necessariamente perché tutto ciò potrebbe anche essere creato con dispositivi hardware appositi come i firewall hardware PIX della CISCO.

Grazie a questa tecnica ogni firewall non sarà più passivo perché svolgendo funzioni di routing dovrà controllare e instradare tutte le connessioni verso l'esterno e inoltrando le stesse ufficialmente a suo nome tramite la tecnica del natting, e poi eventualmente decidere quali connessioni tenere e quali bloccare. Con questa metodologia potremmo predisporre un'insieme di regole apposite per i client della rete interna che saranno fatte rispettare dal firewall che protegge quell'area, mentre un altro firewall si occuperà delle regole dedicate alla DMZ che saranno ovviamente più specifiche e diverse, sempre riferendoci al caso espresso nella figura sottostante.

" Questo accorgimento consiste nel porre il firewall come indirizzo di gateway della LAN, cioè della zona che esso dovrà proteggere"

<h3 align="center">Firewall come estensione della propria LAN</h3> Questa non è una vera e propria tipologia di implementazione di firewall, ma un particolare utilizzo che si può fare di strumenti come un firewall di rete. Questa funzione è molto richiesta da parte di moltissime aziende al giorno d'oggi, ed è una funzione che si ritrova implementabile in sempre più firewall di rete evoluti e che permette la possibilità di gestire le VPN (Virtual Private Network). Una VPN permette di estendere la propria rete LAN verso altre reti private, o stabilite, utilizzando come dorsale una rete pubblica, e quindi intrinsecamente insicura.

E' proprio per questo motivo che si utilizzano dei firewall di rete per fare queste estensioni delle reti perché essi sono in grado di gestire in maniera più specifica e in maggior misura gli utenti abilitati all'accesso dall'esterno oltre ai consoni e basilari username e password. Un'altra cosa interessante di

questa tipologia di implementazione dei firewall di rete è l'aiuto e l'apporto importante che da la crittografia dei dati che rende così possibile la comunicazione sicura tra due reti private che sfruttano come canale la rete pubblica di Internet che come già detto è intrinsecamente insicura.

Tutto ciò avviene perché i dati trasmessi da una rete privata all'altra vengono automaticamente criptati e decriptati dai firewall che hanno la medesima chiave di crittografia che permette a loro di cifrare e decifrare automaticamente le transazioni appartenenti alla VPN rendendo così la trasmissione sicura in modo trasparente senza che l'utente utilizzatore se ne accorga. La funzione VPN è possibile anche tra la propria rete locale e un singolo computer (un portatile) in Internet ed è sufficiente installare nel portatile un apposito software che si occupi di crittografare / de-crittografare i dati provenienti dal firewall utilizzando la medesima chiave di crittografia. I vantaggi di questa tecnologia sono ovvi, perché essa mette a disposizione diversi vantaggi come:

• Riduzione drastica dei costi per i collegamenti aziendali.
  
• Maggiore sicurezza nella trasmissione dei dati
  
• Accesso sicuro da parte di utenti di portatili o di PC collegati tramite Internet alla propria rete aziendale
  

" Una VPN, cioè una Virtual Private Network, permette di estendere la propria rete privata verso altre reti private utilizzando come dorsale una rete pubblica e quindi intrinsecamente insicura "

" Un'altra cosa interessante di questa tipologia di implementazione dei firewall di rete è l'aiuto, e l'apporto importante che da la crittografia dei dati che rende possibile la comunicazione sicura "