GuideNetworking.it

Approfondimenti, tutorial ed esperienze sulle reti informatiche

Internet security: la guida completa al firewall.

Internet security: la guida completa al firewall.

Il tema della internet security ci rimanda immediatamente al tema della sicurezza nella rete lan ed è certamente di assoluta attualità nel mondo informatico di oggi. Progettare ed implementare misure adeguate di sicurezza informatica è indispensabile per le reti aziendali. Uno dei dispositivi più importanti nella progettazione della internet security è il firewall.

Iniziamo in questo post una serie di articoli su alcune tecniche di internet security non che di accorgimenti utili da implementare all'interno della nostra rete LAN per mettere in sicurezza i nostri dati ed i nostri dispositivi digitali. Iniziamo dal Firewall.

Abbiamo definito in un precedente post cosa intendiamo per rete LAN (Local Area Network). Possiamo semplificare considerando come rete LAN la rete di tutti i dispositivi all'interno del nostro ufficio o della nostra azienda. La rete LAN è collegata verso l'esterno (Internet) tramite il nostro router.

Se vuoi approfondire la conoscenza sulle reti di computer ed  il concetto di router puoi scaricare gratis la nostra guida di base sulle reti.

Uno degli elementi più importanti per la sicurezza informatica è il FIREWALL.

Cosa è il firewall?

Cerchiamo di capire di cosa si tratta.

Innanzitutto vediamo dove si trova: il firewall è il primo dispositivo che si posiziona dopo il router all'interno della nostra LAN. In realtà a volte si parla anche di firewall software, ma il software deve sempre essere configurato su di un hardware!! A volte questo hardware si può chiamare anche firewall server.

Il concetto di firewall software si applica molto spesso a prodotti open source che possono essere scaricati liberamente da internet per essere installati su un nostro hardware, questa soluzione spesso viene indicata con firewall appliance.

Un esempio molto semplice di firewall software è quello che ci mette a disposizione microsoft sul nostro pc windows.

In pratica possiamo dire che il nostro firewall di rete si trova fra la Internet e la rete LAN del nostro ufficio. Nella configurazione più semplice il firewall ha due interfacce (porte ethernet), cioè due punti di collegamento, uno viene collegato alla nostra LAN (interfaccia green) e l'altro al nostro router, cioè verso la rete internet o WAN (interfaccia red).

firewall-rete-LAN

Se tentiamo la traduzione della parola firewall in italiano avremmo: muro-di-fuoco. Il ruolo principale del firewall è, infatti, proprio quello di proteggere la nostra rete LAN, infatti è posizionato fra la rete lan ed il collegamento internet.

Vediamo come può il firewall proteggere la nostra rete LAN.

Prima di continuare se l'argomento ti interessa puoi iscriverti per restare aggiornato sulle novità.

Se colleghiamo il firewall come specificato sopra, tutte le informazioni che vogliono passare dall'interno verso l'esterno della nostra rete o al contrario dall'esterno verso l'interno, devono attraversare il nostro "muro-di-fuoco", essendo questa una via obbligata dall'architettura della rete.

Possiamo configurare il nostro firewall impostando delle "regole" che definiscono quali sono le informazioni che possono "attraversarlo" sia dall'interno verso l'esterno che dall'esterno verso l'interno. In questo modo riusciamo a "regolare" il flusso di informazioni in uscita ed in entrata dalla/nella nostra LAN.

Possiamo sintetizzare il funzionamento del firewall in questo modo: quando arriva un "pacchetto" di informazione su di una interfaccia (green o red) il dispositivo controlla le regole che sono definite al suo interno, se esiste una regola che dice di farlo "passare" il pacchetto passa, se non esiste il pacchetto NON passa.

Una comunicazione informatica fra due dispositivi possiamo immaginarla come un  flusso di informazione che passa attraverso un mezzo di trasporto da un dispositivo all'altro. Possiamo immaginare questo "flusso" formato da "pacchetti di informazione". La comunicazione viene generata da un dispositivo e poi si instaura una specie di flusso di informazioni fra il dispositivo che ha generato la comunicazione ed il dispositivo destinazione.

Per capire meglio questo concetto facciamo un esempio. Supponiamo di voler scaricare un file dal nostro PC. In un post precedente abbiamo imparato che un file all'interno del PC è sempre formato da un flusso di bit. Se vogliamo scaricare un file dal nostro PC dobbiamo in qualche modo contattare il PC che contiene questo file e chiedere di inviarcelo. Dunque il nostro PC contatta il PC remoto, chiede il file ed a questo punto viene instaurata una connessione fra il nostro PC e quello remoto fino a che tutti i bit relativi al file che vogliamo scaricare non sono passati sul nostro PC.

Riassumendo, il PC effettua una richiesta ed avvia una connessione con il PC remoto, "all'interno della quale" vengono inviati i pacchetti di informazione relativi alla richiesta effettuata.

Detto questo possiamo specificare la configurazione più semplice del nostro firewall appliance impostando le seguenti "regole":

  1. Tutti i "pacchetti" di informazione che riguardano nuove connessioni avviate dall'interno della nostra LAN verso l'esterno, possono passare.
  2. Tutti i "pacchetti" di dati che riguardano le connessioni già stabilite possono passare (si se arrivano sull'interfaccia green che red).
  3. Tutti i "pacchetti" relativi a tentativi di connessione generati dall'esterno (interfaccia red) vengono BLOCCATI.

Questo in linea generale è quello che possiamo configurare sul nostro firewall di rete per fare in modo di mettere al sicuro la nostra LAN aziendale dai rischi che possono arrivare da internet, per questo parliamo di internet security.

Chiaramente qui abbiamo riportato una configurazione molto basilare, anche se molto spesso può essere davvero usata. Ci possono essere comunque situazioni e casi in cui una configurazione di base così semplice non può andare bene.

Immaginiamo ad esempio una azienda che ha più di una sede (sede A e sede B) su di uno specifico territorio, ed ha necessità di condividere dei dati fra le due sedi. Questo in genere si fa con implementazioni di VPN (Virtual Private Network) fra le due sedi.

Con un concetto molto semplice possiamo immaginare la VPN come un "tunnel virtuale protetto" instaurato fra le due sedi attraverso la rete Internet. Tutte le informazioni scambiate dalle due sedi, vengono "incanalate" in questo tunnel in modo da essere protette all'interno della rete pubblica.

In questo caso le "connessioni" possono essere generate sia da una azienda che dall'altra. In un caso come questo le regole definite prima non sono sufficienti perchè nella sede B non farebbero "passare" le richieste effettuate dalla sede A perchè richieste generate dall'esterno della rete. Ed ovviamente il viceversa.

Come si potrebbero modificare le regole del firewall nelle due sedi?

SEDE A

  • Tutti i "pacchetti" di informazione che riguardano nuove connessioni avviate dall'interno della nostra LAN verso l'esterno, possono passare.
  • Tutti i "pacchetti" di dati che riguardano le connessioni già stabilite possono passare (sia se arrivano sull'interfaccia green che red).
  • Tutti i "pacchetti" relativi a tentativi di connessione sull'interfaccia RED (esterni) generati  dalla sede B possono passare.
  • Tutti i "pacchetti" relativi a tentativi di connessione generati dall'esterno (interfaccia red) vengono BLOCCATI.

Ovviamente nella sede B possiamo impostare le stesse regole modificando la terza regola con la sed A.

Le cose, ovviamente si possono complicare ancora.

All'inizio dell'articolo abbiamo detto che il nostro firewall ha due interfacce di rete le abbiamo chiamate GREEN e RED. In realtà ne può avere altre. Vediamo perchè.

Supponiamo che una azienda debba "pubblicare" all'esterno un servizio (ad esempio un webserver). Per semplificare possiamo pensare ad una applicazione all'interno dell'azienda a cui devono collegarsi anche dall'esterno. In pratica per diversi motivi può essere necessario che dall'esterno (cioè da Internet) i nostri clienti devono collegarsi ad una applicazione che abbiamo su di un PC (server) all'interno della nostra LAN.

Come possiamo configurare il nostro firewall per questo?

Abbiamo bisogno di una terza porta LAN e configurare il nostro firewall in questo modo:

schema firewall

Il dispositivo firewall che abbiamo scelto per questa implementazione ha tre interfacce ethernet invece di due. La prima è quella GREEN a cui colleghiamo la LAN; poi abbiamo la RED su cui colleghiamo la WAN (internet); e fino qui tutto come prima. La nuova interfaccia possiamo chiamarla ORANGE o DMZ (de-militarized-zone).

L'interfaccia ORANGE la utilizziamo per collegare il PC con il servizio che vogliamo rendere pubblico. A questo punto possiamo impostare le nostre regole:

  • Tutti i "pacchetti" di informazione che riguardano nuove connessioni avviate dall'interno della nostra LAN verso l'esterno, possono passare.
  • Tutti i "pacchetti" di dati che riguardano le connessioni già stabilite possono passare (si se arrivano sull'interfaccia green che red.
  • Tutti i "pacchetti" relativi a nuove connessioni generate dall'esterno che sono dirette al servizio pubblico le facciamo passare ma le dirottiamo sull'interfaccia ORANGE.
  • Tutti i "pacchetti" relativi a tentativi di connessione generati dall'esterno (interfaccia red) vengono BLOCCATI.

Questo è un modo per poter offrire servizi all'esterno ma proteggere comunque la LAN, infatti dall'esterno è possibile accedere solo ed esclusivamente al servizio che vogliamo offrire, l'accesso alla LAN è sempre interdetto.

Servizi UTM: l'evoluzione moderna del firewall e della internet security.

I dispositivi firewall di nuova generazione stanno integrando le loro funzionalità trasformandosi in dispositivi UTM (Unified Threat Management) in italiano possiamo tradurre gestione unificata delle minacce.

Un dispositivo UTM è un firewall di rete evoluto con funzionalità aggiuntive di sicurezza informatica, alcune delle quali sono:

  • Anti-Virus
  • Analisi e filtri contenuti WEB
  • Protezione email
  • Prevenzione delle intrusioni
  • Identificazione e classificazione delle applicazioni web, incluse le opzioni di blocco
  • Ecc..

Queste sono solo alcune delle funzionalità di un sistema UTM, soluzioni indispensabili per aziende che ritengono essenziale la sicurezza delle informazioni. Con l'adozione di un sistema UTM l'azienda acquisiscono una serie di vantaggi molto importanti per tutta l'infrastruttira ITC, oltre a permettere una gestione più efficiente  e produttiva.

Se l'articolo ti è piaciuto puoi iscriverti alla nostra newsletters per non perdere gli aggiornamenti sulle nostre guide.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.