Torna alla Home

Torna alla Home

Benvenuto in Secure Zone!! Ora sei in Home>Sicurezza> Cos'è e come funziona un Firewall

 

 

 

 

 

 

 

 

 

                                                                                                                                            -COS'E'-E-COME-FUNZIONA-UN-FIREWALL-                                                                                                      I firewall sono dispositivi software od hardware posti a protezione dei punti di interconnessione eventualmente esistenti tra una rete privata interna (ad es. una Intranet) ed una rete pubblica esterna (ad. es. Internet) oppure tra due reti differenti. Usando una metafora è come se questi dispositivi rappresentassero i punti di una dogana: la loro funzione principale è quella di agire come dei filtri controllando tutto il traffico di rete che proviene dall'esterno, nonché quello che viene generato dall'interno, e permettendo soltanto quel traffico che risulta effettivamente autorizzato.
Prima di addentrarci nel discorso è opportuno fare una breve premessa per ricordare i principi di funzionamento sui quali si basa il TCP/IP (Transport Control Protocol/Internet Protocol) poiché questa diffusissima suite di protocolli garantisce ormai la stragrande maggioranza dei servizi all'interno sia delle reti private che di quelle pubbliche.
In un network basato sul TCP/IP ciascun sistema è identificato in modo univoco da un indirizzo IP, costituito da quattro ottetti del tipo aaa.bbb.ccc.ddd, e comunica con altri sistemi scambiando messaggi sotto forma di pacchetti, detti anche datagrammi, tramite un determinato protocollo. In sostanza ogni forma di comunicazione tra i sistemi di un network di questo tipo presuppone l'esistenza di due punti distinti ciascuno dei quali è rappresentato da un coppia univoca di elementi costituiti oltre che da un indirizzo IP anche da una porta di comunicazione: l'indirizzo IP, analogamente ad un numero di telefono, garantisce la possibilità di instaurare una comunicazione con un determinato sistema mentre la porta non è altro che un numero che serve a differenziare il servizio di rete, cioè l'applicazione usata per la comunicazione stessa (ad es. il servizio http ha tipicamente un numero di porta uguale ad 80, quello ftp la 21, ecc...). Il meccanismo che sta alla base dell'intero scambio informativo è quello che permette l'instaurazione di una connessione ed è chiamato three-way handshake termine che, tradotto letteralmente, significa "stretta di mano a tre vie": senza di esso nessun successivo flusso comunicativo potrebbe esistere tra due sistemi differenti.

Esistono due diversi tipi di firewall: I firewall a filtraggio di pacchetti e i firewall a livello di circuito. Analizziamoli...

I firewall a filtraggio di pacchetti sono i più comuni ed anche i meno costosi: essi esaminano le informazioni contenute nella intestazione del pacchetto relativa al protocollo IP e le confrontano con il loro set di regole interno permettendone o bloccandone il transito.
Il vantaggio di questi dispositivi, oltre al costo contenuto, è rappresentato dalla velocità mentre per converso i punti deboli sono costituiti da una certa sensibilità verso determinati tipi di attacco come quelli basati sull'IP spoofing.Inoltre un altra vulnerabilità è data dal fatto che in questo caso sussiste una connessione diretta tra sorgente e destinazione per cui, una volta che il firewall lascia transitare il pacchetto, esso non garantisce più alcuna ulteriore difesa contro ogni successivo attacco portato in essere

I firewall a livello di circuito, molto più costosi, forniscono un livello di protezione più elevato poiché esaminano non soltanto l'intestazione ma anche il contenuto dei pacchetti in transito.Questo meccanismo di funzionamento viene anche detto "stateful packet inspection" proprio perché l'esame del contenuto del datagramma è diretto a verificare lo stato della comunicazione in corso e, quindi, ad assicurare che il sistema di destinazione abbia effettivamente richiesto la comunicazione stessa.
In questo modo c'è la garanzia che tutte le comunicazioni si svolgano soltanto con indirizzi sorgente effettivamente conosciuti per effetto di precedenti interazioni.

 PERCHE' UTILIZZARE UN FIREWALL?

Quando un PC accede ad Internet esso diventa, a tutti gli effetti e per tutta la durata del collegamento, un nodo della rete . Il sistema connesso, come del resto qualsiasi altro nodo, può esporre dei servizi di rete cioè delle applicazioni che hanno delle funzionalità specifiche e che rimangono in ascolto su una porta determinata (ad es. un server ftp o telnet od anche il classico servizio di condivisione dei file e delle stampanti di Windows).

In alcuni casi può capitare che questi servizi nascondano al loro interno delle vulnerabilità o, comunque, rendano manifesti dei difetti di configurazione tali da poter essere sfruttati per guadagnare l'accesso non autorizzato ad un sistema.

In genere prima di tentare una qualsiasi forma di intrusione un aggressore fa uso di un software specifico per effettuare la scansione del target alla ricerca di eventuali porte in ascolto.

Una volta individuate queste porte è molto facile risalire al tipo di applicazione in esecuzione e, da qui, al genere di problemi di sicurezza che affliggono l'applicazione stessa e, di conseguenza, diventa possibile sfruttare un exploit (una tecnica di attacco particolare che si basa sulla presenza di vulnerabilità note) in modo da ottenere l'accesso al sistema.

Naturalmente, nella realtà dei fatti, quasi mai le cose sono così semplici ma l'esempio è diretto a sottolineare un dato di fatto di fondamentale importanza: l'uso di un firewall, in combinazione con altri strumenti, può effettivamente garantire un livello di protezione discreto non soltanto contro i tentativi di sfruttare vulnerabilità più o meno note di un servizio ma anche e soprattutto contro l'attività di scansione delle porte che normalmente costituisce sempre il preludio di un attacco.

                                                                       Articolo scritto da: Niccolò Falaschi