PROGRAMMIAMO
Internet - Firewall
Firewall

In informatica, un firewall (termine inglese dal significato originario di parete refrattaria, muro tagliafuoco, muro ignifugo; in italiano anche parafuoco o parafiamma) è un sistema di protezione che difende i calcolatori di una rete locale collegata a Internet da accessi non autorizzati. In pratica il firewall si interpone fra la rete locale e la rete Internet esterna, filtrando i pacchetti in partenza e in arriva in base a determinate regole predefinite.

Firewall Types

Il firewall in sostanza svolge due funzioni principali:

Per quanto riguarda il primo punto (filtro in ingresso), facciamo osservare che quando un PC accede ad Internet esso diventa, a tutti gli effetti e per tutta la durata del collegamento, un nodo della rete. Il sistema connesso, come del resto qualsiasi altro nodo di rete, può avere in esecuzione dei servizi di rete, cioè delle applicazioni che hanno delle funzionalità specifiche e che rimangono in ascolto su una porta determinata (ad es. un server ftp o telnet od anche il classico servizio di condivisione dei file e delle stampanti di Windows). In alcuni casi può capitare che questi servizi nascondano al loro interno delle vulnerabilità o, comunque, abbiano dei difetti di configurazione tali che potrebbero essere sfruttati dall'esterno per guadagnare l’accesso non autorizzato ad un sistema.

Per quanto riguarda il filtro in uscita, il firewall potrebbe essere configurato in modo da impedire l'accesso a eventuali siti dannosi o impedire l'uso di determinati protocolli di rete o ancora restringere i tipi di siti che possono essere visitati all'interno di una rete privata (es. il filtro su Facebook in una rete aziendale).

Firewall: tipologie di realizzazione

Un firewall può essere realizzato per mezzo di un computer dedicato con due schede di rete (una collegata con la rete interna e un'altra con quella esterna). In alternativa molti router (e anche molti modem-router domestici) includono un firewall che può essere opportunamente programmato per filtrare le comunicazioni indesiderate.

Infine un firewall può anche essere realizzato per mezzo di un opportuno software in esecuzione sul singolo computer collegato alla rete. Si parla in questo caso di firewall personale.

Firewall: modi di funzionamento

dal punto di vista del funzionamento i firewall possono essere ulteriormente distinti in due gruppi separati:

I primi sono i più comuni ed anche i meno costosi: essi esaminano le informazioni contenute nella intestazione del pacchetto relativa al protocollo IP e le confrontano con il loro set di regole interno permettendone o bloccandone il transito. Il vantaggio di questi dispositivi, oltre al costo contenuto, è rappresentato dalla velocità mentre per converso i punti deboli sono costituiti da una certa sensibilità verso determinati tipi di attacco come quelli basati sull’IP spoofing tecnica tramite la quale si crea un pacchetto IP nel quale viene falsificato l'indirizzo IP del mittente).

Al contrario i firewall a livello di circuito, molto più costosi, forniscono un livello di protezione più elevato poiché esaminano non soltanto l’intestazione ma anche il contenuto dei pacchetti in transito. Questo meccanismo di funzionamento viene anche detto “stateful packet inspection” proprio perché l’esame del contenuto del datagramma è diretto a verificare lo stato della comunicazione in corso e, quindi, ad assicurare che il sistema di destinazione abbia effettivamente richiesto la comunicazione stessa.

Demilitarized Zone (DMZ)

Una DMZ (demilitarized zone) è un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne sia esterne, ma caratterizzata dal fatto che gli host presenti nella DMZ hanno possibilità limitate di connessione verso host specifici della rete interna. Si tratta, in altre parole, di un’area pubblica protetta, dove il traffico è strettamente regolato da entrambi i lati (cioè sia dal lato LAN che da quello della rete esterna).

Tale configurazione viene normalmente utilizzata per i server di rete (es. un'azienda che possieda un server di posta elettronica utilizzabile anche dall'esterno). Tali server vengono normalmente posizionati sulla DMZ, in modo tale da fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ è infatti una sorta di "strada senza uscita" o "vicolo cieco". Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche da Internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.

File:Demilitarized Zone Diagram it.png

In pratica, la DMZ è una zona “cuscinetto” tra interno ed esterno, e viene realizzato usando una interfaccia di rete dedicata del firewall (vedi figura qui sopra), oppure viene creata aggiungendo un firewall, come nello schema qui sotto:

Generalmente si installano nella DMZ i server detti front-end, a cui corrispondono i relativi back-end in LAN. Un esempio tipico è il servizio di posta elettronica: in DMZ si trova il server che pubblica il servizio SMTP ed eventualmente la webmail, l’antispam e l’antivirus; nella LAN interna rimane il server che ospita il database delle caselle e gli altri servizi.

Nel malaugurato caso in cui un servizio in LAN fosse compromesso in seguito ad una vulnerabilità, l’aggressore potrebbe raggiungere anche gli altri host della rete, dato che in LAN non esiste isolamento tra un server interno e gli altri nodi. Se lo stesso problema si verificasse in DMZ, l’attaccante avrebbe grosse difficoltà a raggiungere la LAN, poiché il traffico tra i server front-end (nella DMZ) e back-end (nella LAN) è fortemente limitato dal firewall. In genere un server di front-end comunica solo con il suo back-end, e solo con le porte strettamente necessarie.

 

 

precedente - successiva

Sito realizzato in base al template offerto da

http://www.graphixmania.it