Imparare le nozioni di base sui vari tipi di firewall, la differenza tra di loro, e come ogni tipo in grado di proteggere la vostra rete in modi diversi.
Un firewall è un livello di sicurezza fondamentale ma essenziale che funge da barriera tra la rete privata e il mondo esterno. Dai firewall stateless di prima generazione ai firewall di nuova generazione, le architetture firewall si sono evolute enormemente negli ultimi quattro decenni. Oggi, le organizzazioni possono scegliere tra diversi tipi di firewall, inclusi gateway a livello di applicazione (firewall proxy), firewall di ispezione stateful e gateway a livello di circuito, e persino utilizzare più tipi contemporaneamente per una soluzione di sicurezza completa a livello profondo.
Che cos’è un firewall e a cosa serve?
Un firewall è uno strumento di sicurezza che monitora il traffico di rete in entrata e/o in uscita per rilevare e bloccare pacchetti di dati dannosi in base a regole predefinite, consentendo solo il traffico legittimo di entrare nella rete privata. Implementati come hardware, software o entrambi, i firewall sono in genere la prima linea di difesa contro malware, virus e aggressori che cercano di raggiungere la rete e i sistemi interni dell’organizzazione.
Proprio come una porta walk-through metal detector all’ingresso principale di un edificio, un firewall fisico o hardware ispeziona ogni pacchetto di dati prima di lasciarlo entrare. Controlla gli indirizzi di origine e di destinazione e, in base a regole predefinite, determina se un pacchetto di dati deve passare o meno. Una volta che un pacchetto di dati si trova all’interno della intranet dell’organizzazione, un firewall software può filtrare ulteriormente il traffico per consentire o bloccare l’accesso a porte e applicazioni specifiche su un sistema informatico, consentendo un migliore controllo e sicurezza dalle minacce interne.
Un elenco di controllo degli accessi può definire indirizzi IP (Internet Protocol) specifici che non possono essere considerati attendibili. Il firewall eliminerà tutti i pacchetti di dati provenienti da quegli IP. In alternativa, l’elenco di controllo degli accessi può specificare IP di origine attendibile e il firewall consentirà solo il traffico proveniente da tali IP elencati. Esistono diverse tecniche per l’impostazione di un firewall. L’ambito di sicurezza che forniscono dipende anche generalmente dal tipo di firewall e da come è configurato.
Quali sono i tipi di firewall?
Strutturalmente, i firewall possono essere software, hardware o una combinazione di entrambi. I firewall software vengono installati separatamente sui singoli dispositivi. Forniscono un controllo più granulare, in quanto possono consentire l’accesso a un’applicazione o funzionalità mentre ne bloccano altre. Ma possono essere costosi in termini di risorse poiché utilizzano la CPU e la RAM dei dispositivi su cui sono installati e gli amministratori devono configurarli e gestirli individualmente per ciascun dispositivo. Inoltre, tutti i dispositivi all’interno di una intranet potrebbero non essere compatibili con un singolo firewall software e potrebbero essere necessari diversi firewall.
I firewall hardware, d’altra parte, sono dispositivi fisici, ognuno con le proprie risorse di calcolo. Fungono da gateway tra le reti interne e Internet, mantenendo i pacchetti di dati e le richieste di traffico da fonti non attendibili al di fuori della rete privata. I firewall fisici sono piuttosto convenienti per le organizzazioni con molti dispositivi sulla stessa rete. Mentre bloccano il traffico dannoso ben prima che raggiunga uno qualsiasi degli endpoint, non forniscono sicurezza contro gli attacchi di insider. Pertanto, una combinazione di firewall software e hardware può fornire una sicurezza ottimale alla rete dell’organizzazione.
I firewall sono anche classificati in base al loro funzionamento e ogni tipo può essere configurato come software o dispositivo fisico. In base al loro metodo di funzionamento, ci sono quattro diversi tipi di firewall.
Firewall di filtraggio dei pacchetti
I firewall di filtraggio dei pacchetti sono il tipo di firewall più antico e basilare. Operando a livello di rete, controllano semplicemente un pacchetto di dati per il suo IP di origine e IP di destinazione, il protocollo, la porta di origine e la porta di destinazione rispetto a regole predefinite per determinare se passare o scartare il pacchetto. I firewall di filtraggio dei pacchetti sono essenzialmente stateless, monitorando ogni pacchetto in modo indipendente senza alcuna traccia della connessione stabilita o dei pacchetti che sono passati attraverso quella connessione in precedenza. Ciò rende questi firewall molto limitati nella loro capacità di protezione contro minacce e attacchi avanzati.
I firewall di filtraggio dei pacchetti sono veloci, economici ed efficaci. Ma la sicurezza che forniscono è molto semplice. Poiché questi firewall non possono esaminare il contenuto dei pacchetti di dati, non sono in grado di proteggere da pacchetti di dati dannosi provenienti da IP di origine attendibile. Essendo apolidi, sono anche vulnerabili agli attacchi di routing di origine e agli attacchi di piccoli frammenti. Ma nonostante la loro funzionalità minima, i firewall di filtraggio dei pacchetti hanno aperto la strada a firewall moderni che offrono una sicurezza più forte e più profonda.
Gateway a livello di circuito
Lavorando a livello di sessione, i gateway a livello di circuito verificano le connessioni TCP (Transmission Control Protocol) stabilite e tengono traccia delle sessioni attive. Sono abbastanza simili ai firewall di filtraggio dei pacchetti in quanto eseguono un singolo controllo e utilizzano risorse minime. Tuttavia, funzionano a uno strato superiore del modello Open (Open Systems Interconnection). Principalmente, determinano la sicurezza di una connessione stabilita. Quando un dispositivo interno avvia una connessione con un host remoto, i gateway a livello di circuito stabiliscono una connessione virtuale per conto del dispositivo interno per mantenere nascosta l’identità e l’indirizzo IP dell’utente interno.
I gateway a livello di circuito sono economici, semplicistici e hanno a malapena un impatto sulle prestazioni di una rete. Tuttavia, la loro incapacità di ispezionare il contenuto dei pacchetti di dati li rende una soluzione di sicurezza incompleta da soli. Un pacchetto di dati contenente malware può bypassare facilmente un gateway a livello di circuito se ha una stretta di mano TCP legittima. Questo è il motivo per cui un altro tipo di firewall è spesso configurato in cima a gateway a livello di circuito per una maggiore protezione.
Firewall di ispezione stateful
Un passo avanti rispetto ai gateway a livello di circuito, i firewall di ispezione stateful, oltre a verificare e tenere traccia delle connessioni stabilite, eseguono anche l’ispezione dei pacchetti per fornire una sicurezza migliore e più completa. Funzionano creando una tabella di stato con IP di origine, IP di destinazione, porta di origine e porta di destinazione una volta stabilita una connessione. Creano le proprie regole in modo dinamico per consentire il traffico di rete in entrata previsto invece di fare affidamento su un set di regole hardcoded basato su queste informazioni. Rilasciano comodamente pacchetti di dati che non appartengono a una connessione attiva verificata.
I firewall di ispezione stateful controllano le connessioni legittime e gli IP di origine e destinazione per determinare quali pacchetti di dati possono passare. Sebbene questi controlli aggiuntivi forniscano una sicurezza avanzata, consumano molte risorse di sistema e possono rallentare notevolmente il traffico. Quindi, sono inclini a DDoS (distributed denial-of-service attacks).
Gateway a livello di applicazione (firewall proxy)
I gateway a livello di applicazione, noti anche come firewall proxy, vengono implementati a livello di applicazione tramite un dispositivo proxy. Invece di un estraneo che accede direttamente alla rete interna, la connessione viene stabilita tramite il firewall proxy. Il client esterno invia una richiesta al firewall proxy. Dopo aver verificato l’autenticità della richiesta, il firewall proxy la inoltra a uno dei dispositivi o server interni per conto del client. In alternativa, un dispositivo interno può richiedere l’accesso a una pagina Web e il dispositivo proxy inoltrerà la richiesta nascondendo l’identità e la posizione dei dispositivi interni e della rete.
A differenza dei firewall di filtraggio dei pacchetti, i firewall proxy eseguono un’ispezione dei pacchetti stateful e deep per analizzare il contesto e il contenuto dei pacchetti di dati rispetto a un insieme di regole definite dall’utente. In base al risultato, consentono o scartano un pacchetto. Proteggono l’identità e la posizione delle risorse sensibili impedendo una connessione diretta tra sistemi interni e reti esterne. Tuttavia, configurarli per ottenere una protezione ottimale della rete può essere un po ‘ difficile. È inoltre necessario tenere a mente il compromesso: un firewall proxy è essenzialmente una barriera aggiuntiva tra l’host e il client, causando notevoli rallentamenti.
Che cos’è un firewall di nuova generazione?
I firewall di nuova generazione (NGFWS) hanno lo scopo di superare i limiti dei firewall tradizionali offrendo anche alcune funzionalità di sicurezza aggiuntive. Nonostante le caratteristiche e le architetture flessibili, ciò che rende un firewall veramente di nuova generazione è la sua capacità di eseguire un’ispezione profonda dei pacchetti oltre all’ispezione dei pacchetti a livello di porta/protocollo e di superficie. Anche se non esiste una definizione concreta e concordata, secondo Gartner, un firewall di nuova generazione è “un firewall di ispezione dei pacchetti profondi che va oltre l’ispezione e il blocco delle porte/protocolli per aggiungere ispezione a livello di applicazione, prevenzione delle intrusioni e portare intelligenza dall’esterno del firewall.”
Un firewall di nuova generazione combina le funzionalità di altri tipi di firewall in un’unica soluzione senza influire sulle prestazioni della rete. Sono più robusti e offrono una sicurezza più ampia e più profonda rispetto a qualsiasi dei loro predecessori. Oltre a svolgere un’ispezione approfondita dei pacchetti per rilevare anomalie e malware, gli NGFW sono dotati di funzionalità di sensibilizzazione delle applicazioni per l’analisi intelligente del traffico e delle risorse. Questi firewall sono pienamente in grado di bloccare gli attacchi DDoS. Sono dotate di funzionalità di decrittografia Secure Sockets Layer (SSL) per ottenere una visibilità completa tra le applicazioni che consente loro di identificare e bloccare i tentativi di violazione dei dati anche da applicazioni crittografate.
I firewall di nuova generazione possono identificare utenti e ruoli utente, ma i loro predecessori si basavano principalmente sugli indirizzi IP dei sistemi. Questa funzionalità di break-through consente agli utenti di sfruttare i dispositivi wireless e portatili, fornendo al tempo stesso una sicurezza ad ampio spettro in ambienti di lavoro flessibili e portando i propri criteri di dispositivo (BYOD). Possono anche incorporare altre tecnologie come i sistemi antivirus e di prevenzione delle intrusioni (IPS) per offrire un approccio più completo verso la sicurezza.
I firewall di nuova generazione sono adatti per le aziende che devono rispettare le norme HIPAA (Health Insurance Portability and Accountability Act) o PCI (Payment Card Industry) o per coloro che desiderano integrare più funzionalità di sicurezza in un’unica soluzione. Ma hanno un prezzo più alto rispetto ad altri tipi di firewall e, a seconda del firewall scelto, l’amministratore potrebbe dover configurarli con altri sistemi di sicurezza.
Quale tipo di firewall si adatta meglio alla mia organizzazione?
Non esiste una soluzione one-size-fits-all in grado di soddisfare i requisiti di sicurezza unici di ogni organizzazione. Infatti, ognuno dei diversi tipi di firewall ha i suoi vantaggi e limitazioni. I firewall di filtraggio dei pacchetti sono semplicistici ma offrono una sicurezza limitata, mentre l’ispezione stateful e i firewall proxy possono compromettere le prestazioni della rete. I firewall di nuova generazione sembrano essere un pacchetto completo, ma non tutte le organizzazioni hanno il budget o le risorse per configurarli e gestirli correttamente.
Man mano che gli attacchi diventano più sofisticati, le difese di sicurezza dell’organizzazione devono recuperare. Un singolo firewall che protegge il perimetro della rete interna da minacce esterne non è sufficiente. Ogni bene all’interno della rete privata ha bisogno di una propria protezione individuale pure. È meglio adottare un approccio stratificato verso la sicurezza invece di fare affidamento sulla funzionalità di un singolo firewall. E perché anche accontentarti di uno quando puoi sfruttare i vantaggi di più firewall in un’architettura ottimizzata specificamente per le esigenze di sicurezza della tua organizzazione.
Utilizzare Parallels RAS per proteggere l’accesso ai dati
Rilevare e mitigare gli attacchi informatici in un panorama di minacce in continua evoluzione è tanto scoraggiante quanto cruciale. Indipendentemente da quanto siano sofisticati, i firewall da soli non possono offrire una protezione sufficiente. Poiché gli ambienti di lavoro flessibili e i modelli aziendali di lavoro da casa diventano mainstream, i datori di lavoro e i dipendenti devono affrontare seriamente le minacce imminenti. I dipendenti che cercano di accedere alle risorse interne da remoto devono farlo tramite una rete privata virtuale (VPN) e utilizzare dispositivi conformi ai criteri dell’organizzazione.
Parallels® Remote Application Server (RAS) offre una vasta gamma di strumenti e funzionalità per monitorare e proteggere applicazioni e dati in un ambiente multi-cloud. Fornisce un controllo di accesso avanzato e criteri client granulari per consentire o limitare l’accesso in base a gateway, indirizzo MAC (Media Access Control), tipo di client, indirizzo IP, utente specifico o ruolo utente.
Parallels RAS enhanced Data security protegge anche i dati sensibili e impedisce l’accesso non autorizzato tramite crittografia e autenticazione a più fattori, oltre a criteri di autorizzazione altamente granulari. Con Parallels RAS, i dipendenti possono passare da un dispositivo all’altro e accedere a dati e applicazioni on-premise da qualsiasi posizione, il tutto mentre le risorse rimangono in modo sicuro all’interno della rete interna.
Vuoi saperne di più su come Parallels RAS Enhanced Data security può proteggere i tuoi dati aziendali? Scarica la nostra prova di 30 giorni oggi!