Firewall
Inte l'informatica, inte i reti de computer, un firewall (termo inglese dal significato originar de muro tagliafuoco, muro ignifugo) xe un componente hardware o software de difesa perimetrale de na rete, che pol anca svòlxer funsion de cołegamento tra do o pì segmenti de rete, o tra una rete e un computer local, fornendo quindi na protexion in termini de sicuressa informatica de ła stessa rete e protexendo el computer da malware o altri pericoli de internet.
Storia
canbiaCo "Firewall" xe pensava a un muro destinà a isołare un incendio in un edificio.[1]Fu applicà ała fin dei ani Ottanta ała tecnolozia de rede co internet novo par conetividà globali.[2] Prima ghe iera usà par el stesso mestiere i router poiché le redi ierano zà segregà aplicando el filtrajo.
Evoluzion
canbiaCo l'introduxion de łe reti LAN inte ła seconda metà dei ani 1970 e l'aumento de ła connettività, favorìa da ła difusion dei primi router a partir da i primi anni 1980, i primi problemi de sigurità par i acesi no autorizà a na rete i ga scominsià a emerger.[3] Una de łe prime soluzion ła xe stà de impostar inte i router łe liste de control de accesso (ACL) che łe permetéa de stabilire quali paccheti acetà e quali scartare in base al Indirizzo IP. Sto approccio el xe diventà sempre meno utilisabile quanto i host connessi a la rete Internet i aumentava.[3] Par tentar de contrarestar łe intrusion, a ła fine dei anni 1980 i primi firewall i xe stà introdoi.
La prima generasion xe sta de i packet filter firewall o stateless firewall, sviluppà in tel 1988.[4][5] El loro funsionamento consistea nel filtrare el trafego co un insieme di regołe basaste su informasion in telheader de i pacchetti.[6][3][5] Sti semplici filtri, usà speso in tei router e dei switch, podeano esar azirà usando IP spoofing[3][7][8] e non riuscivano a rilevare le vulnerabilità nei livelli del modello OSI superiori al terzo.[5]
La seconda generasion di firewall podeano salvàr e monidorar lo stato di una connessione.[5] Il primo stateful firewall xe stà svilupà in tel 1989.[5] Un firewall de sto tipo ier en grado de formulare regole par blocàr pacheti falsi (sensa conession attiva) ma i non garantia ła protesion da atacchi che usavano vulnerabilità in tei livei al de sora del modeło OSI.[6] Inoltre ierano sensìbili ad atacchi DoS che inpinìvano ła tabeła de stato de łe conexion.
A i firewall de tipo stateful xe state zontà par ła siguransa łe VPN, reporting, load balancing e filtrazion del contenuto. Inte sto insieme de strumenti, el firewall el jera el primo elemento de difensa del sistema.
La cresita de Internet ga portà a la diffusion de atachi inserii inte el traffego web che i stateful firewall no i jera in grado de far fronte. Infati i firewall de ła seconda generasion, come quei de ła prima, no i gavea ła capasidà de individuar łe minace inte el traffego parché i rivava a clasificarlo senpre su base a ła porta e al Protocollo.[5] El problema el ga portà al svilupo dei firewall de aplicasion (chiamato anca proxy firewall o application gateway[7]), na nova gerazion de firewall che ła pol ofrir protexion fin al livello de aplicasion (livello 7) del modelo OSI. I xe stà implementà in teła prima metà dei anni 1990.[4] Comunque sto tipo de firewall el podeva sostener un solo protocolo de aplicasion e el influensa negativamente sul traffego de rete.[6]
Inte ła seconda metà dei anni 2000 i primi next-generation firewall e i xe stà realizà che i riunise vece e novi tecłoghe de sicurezza in na sola solusion, evitando el degrado de łe prestasion e migliorando ła so configurazion e ła so gestione.[4]
Descrizion
canbiaDe norma, ła rede ła vien dividesta in do sottoreti: una, dita esterna, ła xe tipicamente na WAN (Wide Area Network) che ła pol conprender ła Internet, mentre l'altra interna, dita LAN (Local Area Network), ła conprende na sezion de un insieme de computer host locali[9]; in certi caxi ła po servir de crear na terza sottoret, dita DMZ (o zona desmilitarizada), adatada a contener quei sistemi che i ga da esar isolati da ła rete interna ma che i ga comunque da esar proteti dal firewall e i xe raggiungibiłi da fora (server pubłici).[10]
Carateristiche
canbiaIn generale el pol esar un software o un dispoxitivo hardware[6] o na composizion de hardware e software[7]: in particolar se definise appliance nel caso che el sia realizà come un dispoxito hardware proviso de software integrà in grado de svolger łe funsion de firewall.[11] El xe quindi un componente par ła segurità informàtica che el ga el scopo de controlar i accessi a łe risorse de un sistema filtrando tuto el traffego che quel sistema scambia co el esterno: el sistema, che se supoze sicuro e fidàbile, proteto dal firewall, el pol esar un singolo computer o una rete de computer (dita rete locale o rete privada) mentre l'ambiente esterno che el interagise xe tipicamente una rete che se supoxe sconosciua, insicura e no fidàbile (dieta rede esterna o rete pùblica). In particołare un firewall el filtra el traffego in base a un insieme de regole, sołitamente dite policy (in italian se pol far co criteri o 'politiche'), che i vien aplicà secondo do possibiłi criteri generali:
- criterio default-deny: vien permeso solo quel che xe dichiarà esplicitamente e el resto xe proibio;
- criterio default-allow: vien proibìo solo quel che xe esplicitamente proibìo e el resto xe permeso.[6]
I firewall i dopara normalmente el criterio default-deny[3] parché el garantisce na pì granda sicurezza[12] e na pì granda precision inte ła definision de łe riègole[6] rapòrtà al criterio de default-allow, anca se quest'ultimo el permetta na configurazion pì semplice. L'analisi dei pacchetti che costituise el traffico se traduce in una de łe seguenti azion:
- allow: el firewall el fa passar el paceto;
- deny: el firewall el blocca el paceto e el lo riporta al mandante;
- drop: el firewall el blocca el paceto e el lo scarta sensa mandarghe nissun segnalasion al mandante.[6][13]
Sołitamente i firewall no preveda el bloco del paceto par evitar un spreco de banda.[13]
I firewall i xe dividesti in host-based e network-based a seconda de ła natura del sistema che i protege. Un host-based firewall[13], ciamà anca personal firewall o firewall software[14], xe na aplicasion software che controlla el traffego in usìda e in entràda de un singolo computer. In particołare el bloca łe aplicaxion instalàe so ła màchina a cui no se ł'avea permeso ła connession co el esterno.[6] Un network-based firewall, dito anca network firewall[15], el xe un componente hardware stand-alone che el vien posto sul confin de na rete par filtrar tuto el traffego che el scambia col esterno (par questo el vien ciamà anca firewall perimetrale[16]).
I firewall hardware i xe machine che i vien progettà par ła funsion particolà che i ga da svolger e i pol esser realizà co hardware e software dedicà o co un server oportunamente configurà par eseguire soło un firewall.[14] I xe dotadi de do schede de rete[6] e i presenta un sistema operativo minimo composto solo da software indispensabiłe par l'esexesion del firewall. Par questo i firewall hardware i xe più sicuri e al steso tempo più difisiłi da configurar che i firewall software.[11]
Filtrazion dei pacchetti/contenuti
canbiaNa funsion che alcuni firewall i prevede xe la posibiłità de filtrare quel che vien da Internet basà su diversi tipi de criteri no relativi a la sicurezza informatica ma volti a limitar i usi de ła rete basà su de łe decixion pułìtiche, in particołare proibindo ła connession su determinade pòrta o a determinade categorie de siti:
- contenudi non adàti ai minori
- contenudi ritegnesti non pertinenti co l'attività de laoro (in açiènda);
- contenuti esclusi in base alle informasión veicolà, basaste supułìtega, rełijosa o par limidar la diffusion della cognosénsa.
Alcune nazion finise a filtrar tuto el traffego internet che vien dal so teritorio interno nel tentativo de controllar el flusso de informazion. Speso l'activazion de sta funsion ła xe richiesta a software e/o hardware dedicà al filtrago basà su URL, che i fa parte de ła categoria dei proxy. I firewall i xe però richiesti a impedir che i utenti eludi tali limitazioni.
Altri funsion associà (NAT e Intrusion prevention system)
canbiaNa funsion spesso associà al firewall ła xe quella de NAT (traduzion dei indirixi de rete), che ła pol contribuir a rendere inaccessibili i calcołatori de ła rete interna mascarando i Indirixi IP. Molti firewall i pol registrar tute le operasion fate (logging), far registrazioni più o meno selettive (par esempio, registrar soło i paceti che i viola na certa regola) e tegnir statistiche de quali regole xe state pì violade.
Ła rexistrasion integrałe de ła atività de un firewall ła pol facilmente assumar dimension ingeneràbiłi, par cui spesso se dopara el logging soło temporaneamente par diagnosticar problemi, o comunque in modo selettivo (logging soło dei paccheti rifiutati o soło de alcune regole). Comunque, l'analisi dei log de un firewall ła pol permetar de individuar in tempo real tentativi de intrusion.
Vantaggi e svantaggi
canbiaRapòrtà a un firewall perimetral, el personal firewall el xe eseguìo sul steso sistema operativo che el dovaria protejer e el xe quindi sogèto a rischio de vegner disattivà da un malware che el ciapa el control del computer co sufficienti diriti. A so favore, el personal firewall el ga accesso a un dato che un firewall perimetral no pol conosser, cioè el pol saver che aplicasion el ga generà un paccheto o el xe in ascolto su na determinada porta, e el pol basar łe so decixion anca su questo, par exenpio blocando na connession SMTP generà da un virus e far passar quela generà da na altra aplicasion.
Limiti
canbiaEl firewall, pur essendo spesso un componente vitałe de na strategia de sicurezza informatica:
- La so efficacia ła xe strettamente legada a l'eficincia de łe regołe co cui ła xe sta configurà (es. łe regołe permissive łe pol far le mancanse de sicurezza);
- ła so configurazion ła xe un compromiso tra la usabilità de ła rete, ła sicurezza e łe risorse disponebiłe par mantenere ła configurazion stessa (le esigenze de na rete łe cambia rapidamente);
- na parte rilevante de łe minace a ła segurità informàtega ła vien da ła rete interna.
Vulnerabilità
canbiaUna de łe pì conosseste vulnerabilità de un firewall de banda media ła xe ła tunneling HTTP, che ła permetta de bypassar łe restrixion de Internet doparando łe comunicaxion HTTP solitaménte considere da i firewall.
Tipologie
canbiaSoftware de firewall o firewall personale
canbiaOltre al firewall a protexion perimetrale ghe xe un secondo tipo, definìo "Personal Firewall", che se installa diretamente sui sistemi da protejer (par questo motivo el xe ciamà anca Firewall Software). In sto caxo, un bon firewall el fa anca un control de tuti i programi che i tenta de accedere a Internet presenti sul computer in cui el xe instalà, permettendo al utente de impostar regole che łe pol dar o negar l'aceso a Internet dai stessi programmi.
El principio de funzionamento el diferisse de quel del firewall perimetral in quanto, intel perimetral, le regole che definise i flussi de traffego permessi łe xe stabilie in base al Indirizzo IP sorgente, a quello de destinazion e a la porta attraverso ła cui xe erogà el servisio, mentre nel personal firewall l'utente el basta esprimare el consenso parché na determinada aplicasion ła połe interagir tramite el protocolo IP. Par dir che l'aggiornamento de un firewall xe importante ma no xe tanto vitałe come l'axornaménto de un antivirus, visto che le operazion che el firewall łe xe sostanzialmente sempre łe stesse. Inveze xe importante crear regole che le sia giuste per decidere quali programmi i ga de poder accedere a ła rete esterna.
Packet filter firewall o firewall stateless
canbiaUn packet filter firewall o stateless firewall el analiza ogni paceto che el passa singołarmente, sensa tener conto quei che i ga precedesto. In sta analisi se considera solo alcune informazion contenute inte el header del paceto, in particołar quei che apartenen ai primi tre livelli del modelo OSI più alcune del quarto:[6][3][5]l'indirizzo IP de ła sorgente, l'indirizo IP de ła destinazion, la porta de ła sorgenta, la porta del destinazion e el protocolo de trasporto. Su sti parametri xe costruìi łe rèłeghe de ła połìtega del firewall.[6][3][5][4][12][8] Sto tipo de filtraxion el xe semplice e lexo ma no el garantisce na alta sicurezza.[8] Infatti el xe vulnerabile a attacchi de tipo IP spoofing in quanto no el riescisi a distinguer se un paceto el aparten a na connession attiva.[12][5] Quindi, a causa de ła mancanza de stato, el firewall el lassa passar anca i paceti el cui indirixo IP fonte orixenałe, no permiso da ła połìtega del firewall el xe volutamente modificà co un indirixo permiso.[3][7][8] Inoltre el filtro, basà soło su łe informasion dei primi livelli del modelo OSI, no permetta al firewall de rilevare i attachi basà su vulnerabilità dei livelli superiori.[5]
El primo documento publicà su ła tecnologia firewall el xe stà nel 1988.
Stato firewall o circuit-level gateway
canbiaUn stateful firewall o gateway de livel de circuito el fa el stesso tipo de filtraxion dei packet filter firewall e in più el tien trazha de łe connession e del so stato.[13][12][17][5][8] Sta funsion, dita Stateful inspection[6][18] , ła vien implementà doparando na tabela de stato interno al firewall[3][17][5] in cui ogni connession TCP e UDP ła xe rapresentà da do coppie formà da indirizo IP e porta, una par ogni endpoint de ła comunicassion. Quindi un firewall statful el blocca tuti i paceti che no i fa parte de na connession attiva, a meno che no i ne cree un novo.[3][4][8] La posibiłità de filtrar i paceti in base al stato de łe connession ła previene i atachi de tipo IP spoofing ma ła porta na dificoltà pì granda inte ła formulasion de łe rèłeghe. Inoltre i firewall stateful no rileva i attachi nei livelli OSI superiori al quarto[6][12][5] e i xe sensibili ai attachi DoS che ne saturano ła tabela de stato.[4] In general, par rifà a i packet filter firewall, i oferi una maggiore sicurezza, un mejo logging[8] e un mejo control sui protocołi aplicativi che sceglie casualmente el porto de comunicaxion (come FTP) [6] ma i xe più pesanti dal punto de vista de łe prestaxion.[13]
Application firewall o proxy firewall o application gateway
canbiaUn application firewall o proxy firewall o application gateway opera fin al livello 7 del modello OSI filtrando tuto el traffego de na singola aplicasion[3][13] in base al conosimento del so protocolo.[6] Sto tipo de firewall el analiza tuti i paceti considerando anca el so contenuto (payload) [17] e el xe quindi in grado de distinguer el traffego de na aplicasion.[5] Un'altra caraterìstega che la distingue da un packet filter firewall e da un stateful firewall ła xe ła capacità de spezar ła connession tra un host de ła rete che ła protege e un host de la rete esterna.[8] Sta tipo de firewall ła xé in grado de rilevare i tentativi de intrusion tramite el sfrutamento de un protocolo[3][4][5] e de realizare łe funsion de logging e reporting in modo mejo de i firewall precedentemente descriti.[8] Anca se el aumenta el livel de seguresa, un application firewall el xe specifico par ogni aplicasion[12][8] e el costituise un collo de bottega par łe prestazion de ła rete.[6][7][17]
Next-generation firewall
canbiaUn next-generation firewall el xe na piattaforma che riunise in un unico paceto diverse tecnologie par ła seguridà.[5] Tra ste ghe xe le tecnologie de filtraxion dei firewall presentade prima o ła filtraxion stateless, ła stateful inspection, l'analisi dei paceti a livel de aplicasion (deep-packet introspection) [4] e altre funsion łe xe adesionà come el NAT e el soporto a łe VPN.[17] L'obiettivo de sta tecnologia de firewall xe la semplificazion de configurar e gestir un insieme eterogeneo de strumenti de sicurezza e al steso tempo el miglioramento del so impatto su le prestazioni de l'intero sistema.[5]
Implementazioni
canbia- Software
- Distribuxioni
- Appliance
- Personal firewall
Nota de ła notifica
canbia- ↑ {{{title}}}.
- ↑ {{{title}}}.
- ↑ 3,00 3,01 3,02 3,03 3,04 3,05 3,06 3,07 3,08 3,09 3,10 3,11 voze de refarensasearchsecurity.techtarget.com.
- ↑ 4,0 4,1 4,2 4,3 4,4 4,5 4,6 4,7 voze de refarensainformationweek.com.
- ↑ 5,00 5,01 5,02 5,03 5,04 5,05 5,06 5,07 5,08 5,09 5,10 5,11 5,12 5,13 5,14 5,15 5,16 {{{title}}} (PDF).
- ↑ 6,00 6,01 6,02 6,03 6,04 6,05 6,06 6,07 6,08 6,09 6,10 6,11 6,12 6,13 6,14 6,15 voze de refarensait.ccm.net.
- ↑ 7,0 7,1 7,2 7,3 7,4 voze de refarensawebopedia.com.
- ↑ 8,00 8,01 8,02 8,03 8,04 8,05 8,06 8,07 8,08 8,09 voze de refarensatechrepublic.com.
- ↑ voze de refarensaaspitalia.com.
- ↑ {{{title}}}.
- ↑ 11,0 11,1 voze de refarensawhatismyipaddress.com.
- ↑ 12,0 12,1 12,2 12,3 12,4 12,5 voze de refarensasecureworks.com.
- ↑ 13,0 13,1 13,2 13,3 13,4 13,5 voze de refarensabu.edu.
- ↑ 14,0 14,1 voze de refarensaopenhousing.com.
- ↑ voze de refarensatechnet.microsoft.com.
- ↑ voze de refarensahostingtalk.it.
- ↑ 17,0 17,1 17,2 17,3 17,4 voze de refarensapaloaltonetworks.it.
- ↑ voze de refarensacomputer.howstuffworks.com.