I Firewall e DMZ, cosa sono e come funzionano.

in data

 Introduzione 

Ciao e benvenuti in questo nuovo post, oggi parleremo dei Firewall, a cosa servono e come vanno utilizzati. Se ti sei perso lo scorso post dove parlavo dei principali attacchi informatici ti consiglio di recuperarlo in modo da capire il perché proteggere i nostri dati o la nostra rete risulta fondamentale. 



Cos'è un Firewall 

Un Firewall è un sistema di sicurezza che permette di filtrare pacchetti in ingresso e in uscita. Il suo obiettivo principale è proteggerci dal del traffico indesiderato, facendo passare solo del traffico che l'amministratore di rete reputa sicuro. Tutto ciò avviene attraverso le regole ACL che vedremo successivamente all'interno di questo post. 

Per capire al meglio il funzionamento dei firewall dobbiamo fare una differenza tra i servizi. I servizi possono essere di due tipi :
  • servizi Intranet : sono tutti quei servizi riservati agli host all’interno della rete
  • servizi Extranet : sono tutte quelle risorse fornite da host esterni, come database. Per prevenire attacchi provenienti da intrusioni esterne bisogna utilizzare i firewall.

Il Firewall ha lo scopo di filtrare i pacchetti in ingresso in modo da prevenire eventuali attacchi, per fare ciò dobbiamo introdurre delle regole che saranno fondamentali per controllare la comunicazione. Un firewall si può creare in :

  • Tramite un PC dotato di almeno 2 schede NIC
  • Attraverso un Router

Nel pratico un Firewall ha lo scopo di bloccare il traffico indesiderato proveniente dall'esterno e impedire cyber attacchi come virus, worm ecc...

Tipologie di Firewall 


I firewall possono essere di due tipi :

  • Personal Firewall : sono dei firewall che proteggono un singolo host , di default permettono tutte le connessioni dall’interno verso l’esterno ma non viceversa. (Outbound in uscita, Inbound in ingresso)

  • Network firewall : hanno lo scopo di proteggere un’intera LAN, si trovano tra la LAN e Internet. Questa tipologia di firewall possono essere realizzate in 2 modi : 

    • Network appliance : sono degli apparati di rete creati ad-hoc. Al suo interno sono presenti sistemi operativi e software di controllo

    • Software based : sono delle macchine che utilizzano dei sistemi operativi standard 


I Network firewall si possono classificare in 3 categorie :
  1. Packet filterin
  2. Stateful Packe
  3. Proxy


  • Packet filtering : è posto nel livello Network della pila protocollare ISO/OSI, analizza l’header IP e l’header di livello transport. Riesce a bloccare i pacchetti in base a regole definite a priori dall’amministratore di rete. Per comodità li abbrevieremo in firewall P.F. I parametri su cui vengono create le regole sono 5, e sono : 

    • Indirizzo IP sorgente
    • Indirizzo IP destinatario
    • Numero di porta sorgente
    • Numero di porta destinatario
    • Rule : B (block) nel caso tale pacchetto deve essere bloccato ; F (forward) nel caso tale pacchetto può passare.

Si possono imporre regole solo in ingresso o solo in uscita o in entrambi i sensi.
I firewall P.F. lavora e filtra i pacchetti in base alle regole ACL.
  • Quando il pacchetto arriva alla porta: si analizza l'header
  • Le regole ACL sono memorizzate in tabella e seguono un preciso ordine.
  • Se una regola ACL blocca la trasmissione o la ricezione del pacchetto, il pacchetto viene rifiutato;
  • Se una regola ACL permette la trasmissione o la ricezione di un pacchetto, il pacchetto è libero di procedere;
  • Se il pacchetto non soddisfa nessuna regola viene bloccato.

Pro e contro del Packet Filtering

 

Vantaggi

  • Velocità : è molto veloce perché controlla i pochi byte dell’header
  • Trasparenza : l’utente non si accorge che di mezzo c’è un firewall poiché non lavora al livello application.
  • I P.F. sono invisibili all’esterno, quindi si vedrà solo il gateway.

Svantaggi

  • Non è in grado di lavorare a livelli superiori
  • Non controlla il contenuto, quindi un virus nei dati passerebbe inosservato 
  • Vulnerabile allo Spoofing : i casi di spoofing non vengono riconosciuti poiché i pacchetti vengono filtrati in base alla provenienza
  • Mancanza di servizi aggiuntivi : non permette di filtrare gli URL non controlla i contenuti di pagine web e non controlla le eventuali parole che noi vogliamo bloccare.

Nota : Lo spoofing è una falsificazione dell'identità, un malintenzionato si può fingere il mittente o il destinatario, così facendo potrà intercettare messaggi e informazioni e ne può inviare di false o dannevoli.



  • Stateful Packet firewall : sono dei firewall di seconda generazione, a differenza dei precedenti sono molto più potenti, riescono ad eseguire un filtraggio non solo su un singolo host ma sull’intera connessione da qui deriva il nome Stateful.  A differenza della prima generazione di firewall, quest’ultimi riescono ad analizzare sia l’header che il contenuto dei pacchetti. (Lavorano a livello Transport).
Fin da subito in alcuni casi era impossibile prevedere le porte da lasciare aperte per la comunicazione o le porte vietate, da qui nasce il Stateful Inspection . Questo modo per controllare il traffico tiene contro di alcune relazioni fondamentali che hanno i pacchetti tra di loro. Tali firewall di questa categoria riescono a ricostruire la connessione TCP, ciò è davvero molto potente poiché riescono a riconoscere i pacchetti TCP malevoli che non fanno parte di nessuna connessione.

Stateful Packet Firewall accettando una connessione, (implica un rispetto di tutte le regole imposte), compilerà una tabella di stato con tutti i dati della connessione in modo da tener traccia nel tempo delle connessioni che sono avvenute.

Se il firewall riconosce che i pacchetti provengono da quella connessione precedentemente accurata sicura, allora lascia passare tutti i pacchetti senza controlli velocizzando la comunicazione. I pacchetti che non fanno parte di quella connessione vengono scartati, potranno passare solo i pacchetti che provengono da connessioni registrate come sicure. 

Nella tabella di stato vengono salvati i seguenti parametri :
  • ID univoco di sessione : importantissimo poiché ogni comunicazione avrà il proprio ID irripetibile.
  • IP sorgente 
  • IP destinatario 
  • Interfacce di rete utilizzate per la comunicazione 
  • Lo stato della connessione che può essere : 
    • Handshaking : fase iniziale in cui si raccolgono le informazioi per compilare la tabella di stato 
    • Estabilsed : connessione stabilita con successo 
    • Closing : connessione terminata, si elimina tale connessione dalla tabella di stato 




  • Proxy : sono dei firewall di livello application. Sono un tipo di server che funge da intermediario tra le richieste del client e il server che fornisce tale servizio richiesto. I proxy vengono utilizzati per svariati impieghi come : 
    • Fornire l’anonimato durante la navigazione.
    • Memorizza le ricerche e le pagine aperte di recente in modo da fornirle nuovamente in maniera molto più veloce senza effettuare altre connessioni al server.
    • Crea una barriera di difesa  verso il web agendo da filtro per la connessione  (il lavoro che fa ogni firewall in pratica) monitorando le connessioni entranti ed uscenti.

Il proxy è un’apparecchiatura che collega due segmenti di rete a livello di applicazione, il proxy interrompe il canale di comunicazione tra mittente e destinatario, riavvia la connessione e per aumentare la sicurezza prende il posto del mittente, mascherando l’origine del collegamento. A tutti gli effetti è un intermediario tra il client e il server.




Cosa riescono a fare i proxy ?


I proxy sono molto potenti come firewall, con essi infatti è possibile introdurre svariate regole, come ad esempio :
  • Bloccare la comunicazione per fasce orarie
  • Blocca indirizzi IP considerati malevoli e li mette nella Black List
  • Keyword List : permette di bloccare il traffico in base a parole chiavi non consentite. Se un sito ha al suo interno quella determinata parola chiave il sito viene bloccato.
  • Possono essere bloccati file eseguibili immagini audio o video 
  • Si possono personalizzare le limitazioni , per alcuni utenti valgono alcune regole per altre macchine ne valgono di altre 


Proxy : Pregi e difetti

  • Pro : 
    • Riesce a creare regole più rigide e permette di fare molte più cose. A differenza del P.F. controlla anche il capo dati, riesce a bloccare siti web , indirizzi IP , utenti e parole
    • L’amministratore di rete ha il controllo completo sulla rete
    • Determina quali host interni possono essere raggiunti dal servizio e ha regole sicuramente più facili da configurare rispetto un Packet Filter.
  • Contro : 
    • la comunicazione a causa di tutti questi controlli risulta molto più lenta rispetto un P.F.


DMZ


Per aumentare la sicurezza è fondamentale dividere la rete in zone qui entra in gioco la DMZ anche chiamata Zona demilitarizzata.

Nella DMZ sono presenti i server pubblici che offrono servizi all’esterno, si trova subito dopo la LAN che è la zona interna, controllata e protetta. I server privati, client e dati aziendali stanno all’interno della zona interna, tutti quei server o servizi che si affacciano verso l’esterno staranno della DMZ

Una DMZ può essere di due tipologie :
  • Vicolo Cieco : usa un solo firewall che separa LAN interna e DMZ
  • Zona Cuscinetto : utilizza due firewall che eseguono le seguenti funzioni : 
    • Un firewall posto tra la DMZ e Internet, chiamato Outer Firewall o External Firewall
    • Un firewall posto tra il DMZ e l’Intranet cioè la nostra LAN protetta, questo viene chiamato Inner Firewall o Internal Firewall.


Conclusione

Spero che questo post vi sia stato d'aiuto. Se vi siete persi i precedenti post che più si avvicinano a questo argomento te li lascio qui sotto, in modo che potrai recuperarli. 

Da Infodibase è tutto e alla prossima : )

Argomenti consigliati 

Ecco le 5 fasi di un attacco informatico. I rischi per la rete






Commenti

Posta un commento