Firewall
Individuato il dominio su cui si intende effettuare il controllo, definito il perimetro di sicurezza e determinati i collegamenti e i sistemi abilitati allo scambio di dati, è responsabilità dei tecnici della rete e dei sistemisti progettare la soluzione tecnologica più adatta a implementare le regole di sicurezza descritte nei precedenti articoli.
Regole che dovrebbero essere puntualmente approvate da un referente, incaricato direttamente dal responsabile della sicurezza dell’organizzazione, per evitare scostamenti tra quanto descritto nelle linee guida e quanto implementato realmente.
Le soluzioni tecnologiche per implementare i controlli sono molteplici. A seconda degli obiettivi che ci si prefigge possono essere introdotti sistemi operanti a livello di rete, di sessione o di applicazione.
In scenari particolarmente complessi e articolati possono essere attivati anche più dispositivi in cascata al fine di ottenere un miglior controllo.
Un fattore determinante nella scelta è rappresentato dal numero di collegamenti e della tipologia di dispositivi utilizzati per l’interconnessione della propria infrastruttura con soggetti esterni.
Nel caso si verifichi la necessità di mantenere molteplici punti di attraversamento lungo il perimetro di sicurezza, può risultare utile realizzare un primo controllo tramite ACL, agendo direttamente sui dispositivi di rete che fungono da nodi di comunicazione, per poi ricondurre tutti i flussi dati pre-filtrati ad attraversare un secondo sistema, che effettua controlli più approfonditi (magari operando un’ispezione a livello applicativo).
Per mantenere contenuti i costi e per semplificare la gestione della sicurezza della propria rete, lo scenario ideale è quello di prevedere un unico collegamento tra la rete locale e mondo esterno.
In questo scenario le regole di controllo possono essere applicate ai diversi flussi configurando un unico sistema (annullando di fatto la possibilità che vi siano regole disomogenee in punti d’attraversamento diversi).
Naturalmente il sistema centrale preposto al controllo deve essere dimensionato per analizzare e instradare tutta la mole di traffico scambiata tra utenti interni ed esterni.
La sua criticità suggerisce inoltre che il sistema centrale sia opportunamente ridondato per consentire il transito di flussi dati abilitati anche in caso di “guasto singolo”.
Un simile scenario offre all’azienda l’opportunità di concentrare tutti gli sforzi di sorveglianza contro minacce esterne in un unico punto.
Indipendentemente dalla soluzione adottata, il controllo sui pacchetti in transito viene svolto con l’obbiettivo minimo di:
- controllare i servizi a cui accedono gli utenti;
- determinare in quale direzione vengono inviate le richieste di servizio;
- controllare quali utenti accedono ai servizi;
- controllare come ogni servizio viene utilizzato.
I sistemi che consentono di monitorare i pacchetti provenienti da, o diretti alle stazioni interne, vengono generalmente definiti sistemi firewall.
Un firewall è quasi sempre composto da più componenti hardware e software, progettate espressamente per risolvere le diverse problematiche di sicurezza relative alla sicurezza perimetrale.
L’attivazione di un firewall centrale, di fatto, mira a creare un passaggio obbligato per tutti i pacchetti scambiati tra rete interna e altre realtà esterne (per esempio il resto di Internet).
Ogni pacchetto destinato alla rete interna, compresi quelli relativi a tentativi di attacco da parte di hacker, prima di poter raggiungere una generica stazione sulla rete locale, deve riuscire a superare i controlli effettuati dal firewall.
La filosofia generale con cui si attivano tali sistemi è impedire che una qualsiasi stazione interna possa risultare direttamente raggiungibile dall’esterno aggirando i controlli.
Con tale approccio, la sicurezza dei propri sistemi interni risulta dipendere, ancor prima che dall’attenzione dedicata alla gestione della sicurezza di ciascuna stazione, dall’efficacia dei controlli effettuati sul firewall e dalla robustezza dei sistemi interni che sono abilitati a scambiare dati attraverso il perimetro.
Questa ultima considerazione non deve però trarre in inganno; la realizzazione di un firewall non significa potersi dimenticare di tutte le procedure di sicurezza rivolte a proteggere i propri sistemi.
Essa significa piuttosto che è possibile scongiurare buona parte degli attacchi esterni tramite la linea di difesa rappresentata da questo sistema di frontiera, limitando i flussi che possono sollecitare i sistemi interni e quindi rendendo tecnicamente irraggiungibili eventuali servizi non necessari, attivi sui sistemi interni, soprattutto quando questi si rivelano affetti da qualche bug software.
Perché il sistema firewall possa essere realmente efficace, è comunque necessario che tutto il traffico in entrata e in uscita dal dominio di controllo lo attraversi.
Per espletare il suo lavoro correttamente, è indispensabile inoltre che nessun attacco possa essere rivolto contro il sistema firewall stesso.
Qualora il sistema firewall venga violato, non esiste alcuna garanzia che le regole descritte dalla politica di sicurezza continuino a essere rispettate.
L’adozione di un firewall consente di ottenere importanti benefici:
- è possibile istruirlo per generare allarmi in seguito a eventi speciali, e mobilitare gli addetti alla sicurezza per gestire in tempo reale eventuali incidenti;
- è possibile monitorare l’utilizzo di internet e dimostrare l’effettivo impiego a fini aziendali (quantitativamente e qualitativamente);
- è possibile effettuare il mascheramento degli indirizzi nascondendo le reali identità degli utenti locali;
- è possibile suddividere la rete in domini di sicurezza distinti, permettendo la costruzione dell’infrastruttura di rete ideale per ospitare server accessibili pubblicamente dagli utenti esterni.
Un firewall centrale, per quanto robusto, non è in grado di risolvere tutti i problemi di sicurezza perimetrale.
Niente può fare per proteggere la rete locale e i sistemi a essa connessi da attacchi condotti tramite pacchetti che non passano attraverso il firewall.
Un caso esemplare in tal senso è un attacco condotto tramite lo sfruttamento di una connessione Dial-Up (magari attivata da un utente interno) o la presenza di un Access Point wireless non documentato e sprovvisto di adeguate soluzioni di autenticazione e controllo.
La presenza di una via alternativa e non regolata per attraversare il perimetro di sicurezza (comunemente indicata come backdoor) può essere la conseguenza di una politica di sicurezza troppo restrittiva, non condivisa da tutti gli utenti locali; di un attacco denial of service che si protrae nel tempo, facendo diventare imprudenti gli utenti della rete; di un mancato aggiornamento tempestivo della configurazione del sistema firewall, in seguito alla richiesta di abilitazione di nuovi servizi.
Per evitare l’apertura anche solo temporanea di simili backdoor, è necessario mantenere un continuo servizio di monitoraggio e sensibilizzazione di tutto il personale che può essere coinvolto/interessato nell’uso dei servizi telematici.
Un firewall non può fare molto neppure contro forme di attacco che usano tecniche di approccio sociali.
Per esempio, quando gli utenti interni contribuiscono personalmente a diffondere informazioni riservate (esempio password), che permettono poi a un hacker l’accesso alla rete assumendo l’identità di un utente legittimo.
Una considerevole quota di attacchi in presenza di sistemi firewall sono resi possibili proprio dall’atteggiamento degli utenti interni che possono aiutare gli hacker in modi diversi:
- compiendo volontariamente azioni che permettono di violare le risorse della rete locale, divenendo complici degli hacker;
- mantenendo un atteggiamento ostile nei confronti della politica di sicurezza dell’organizzazione, minandone l’affidabilità;
- fornendo informazioni attraverso software installati sulla propria stazione, che agiscono come Trojan;
- lasciandosi persuadere da un hacker, che si presenta loro con false credenziali, proclamandosi amministratore dei sistemi o, più semplicemente, un nuovo impiegato inesperto (Social engineering);
Per non indurre gli utenti ad attivare personali backdoor, in seguito alla scarsa qualità del servizio offerta dal sistema firewall (bassa velocità di trasmissione), è indispensabile che il dispositivo riesca a controllare e instradare un considerevole numero di pacchetti per unità di tempo.
Per non abbattere in maniera eccessiva le prestazioni, è necessario mantenere limitato il numero di controlli in-line effettuati dal firewall centrale.
Con controllo in-line si intende quello in cui ogni pacchetto deve essere controllato prima di poter essere ritrasmesso.
Si definisce invece out-of-band un meccanismo in cui vengono prodotte copie dei pacchetti trasmessi (per esempio configurando in mirroring alcune porte degli switch della rete), e inviate queste ai dispositivi di controllo per la verifica delle regole.
Nei dispositivi out-of-band eventuali sovraccarichi di lavoro non si traducono in rallentamenti nel processo di ritrasmissione dei pacchetti.
Le ACL sono regole che vengono normalmente verificate con un approccio in-line, mentre l’analisi dei pacchetti alla ricerca di eventuali Virus o tracce di attacchi informatici è un’attività che viene svolta più spesso out-of-band.
Soluzioni Antivirus e IPS in-line sono oggi comunque disponibili e possono essere adottate nei progetti di sicurezza perimetrale, anche se per svolgere tali funzionalità più spesso vengono preferite architetture in cui i controlli sono effettuati da componenti che operano out-of-band.
Il caso in cui si adotta con maggior frequenza un Antivirus in-line centralizzato è nel servizio di posta elettronica, che per sua natura è store and forward e quindi non risente in maniera apprezzabile di eventuali ritardi aggiunti proprio dal controllo AV.
Anche se si vanno diffondendo soluzioni AV centralizzate per l’individuazione e la rimozione di Virus, è consigliabile un approccio distribuito.
Utilizzando gli AV locali come complemento dei controlli effettuati da un AV centralizzato si ha il vantaggio di assicurare protezione non solo da minacce esterne ma anche da tentativi di infezione originati da sistemi appartenenti allo stesso dominio di sicurezza.
Considerato il raggio di azione più ampio di una soluzione AV distribuita può apparire inutile adottarne anche una centralizzata.
In realtà disporre di un AV centralizzato rappresenta notevoli vantaggi.
Se il virus blocca l’AV centralizzato il file infetto non viene mai caricato sulla stazione locale, riducendo il livello di esposizione al rischio della stessa.
Per attivare una soluzione Antivirus centralizzata occorre utilizzare una componente hardware e software dedicata, distinta da quella che effettua i controlli sugli altri flussi di dati.
Appare evidente dalle precedenti considerazioni che l’attivazione di un sistema firewall allo stato dell’arte non è esente da costi.
Alcuni sono facilmente individuabili e quantificabili, altri sono meno evidenti. I costi facilmente quantificabili comprendono:
- il costo degli apparati e delle licenze del software che effettua i controlli;
- il costo degli aggiornamenti e della manutenzione ordinaria e straordinaria degli apparati e del software.
Esistono anche costi che a volte sfuggono a una prima analisi sommaria come:
- il costo dell’aggiornamento e del trasferimento di conoscenze tecnologiche per la gestione e l’amministrazione del sistema firewall a personale interno all’organizzazione (amministratori di rete, sistemisti e altre figure responsabili della sicurezza);
- il costo dell’aggiornamento e del trasferimento di conoscenze tecnologiche per l’utilizzo dei servizi Internet tramite un firewall ai propri utenti (non sempre infatti il sistema risulta trasparente agli utenti e questo può richiedere un loro addestramento).
Nelle realtà in possesso delle necessarie conoscenze tecnologiche o in grado di acquisirle in breve tempo e a costi limitati, è ancora oggi diffusa la tendenza a dotarsi di sistemi firewall autocostruiti, attraverso l’assemblaggio di componenti di pubblico dominio, e hardware di impiego generale (router, PC).
In molti altri scenari, la necessità di approntare in tempi ragionevoli una soluzione di difesa perimetrale sicura e affidabile (a cui si aggiunge la scarsa fiducia nelle proprie capacità di assemblatori), può rendere preferibile l’acquisizione di un sistema firewall commerciale chiavi in mano.
Il costo di una simile soluzione può risultare considerevolmente maggiore, ma insieme al prodotto viene generalmente fornita anche la consulenza necessaria per configurare e avviare inizialmente il sistema, nonché per maturare la sensibilità richiesta per amministrarlo a regime.
L’importanza delle risorse da proteggere e la perdita, sia a livello di immagine sia economica, dipendente dalla non fruizione delle stesse risorse, rappresenta il fattore spesso determinante nell’individuazione del budget per implementare la politica di sicurezza globale, di cui il sistema firewall è solo parte.
Un firewall è infatti solo uno strumento a disposizione dell’organizzazione per l’implementazione di regole di sicurezza prestabilite con livelli di servizio prefissati.
Quanto più complesse sono le regole, tanto più complesso è il sistema che permette di gestirle.
Quando l’insieme di regole è talmente complesso da risultare ingestibile tramite un unico dispositivo, è necessario realizzare un’architettura firewall più complessa.
Ogni architettura firewall è comunque costituita dalla combinazione degli stessi componenti elementari:
- dispositivi per il packet filtering (anche indicati come network-level-gateway);
- application-level-gateway;
- circuit-level-gateway;
- proxy server;
- relay server.
Con questi pochi blocchi elementari possono essere create diverse architetture firewall di riferimento e pressochè infinite varianti.
Le composizioni più complesse offrono generalmente una soluzione di sicurezza più versatile a fronte di maggiori spese e una maggiore difficoltà di gestione.
Il compito più difficile di un’organizzazione rimane stabilire, tra tutte le varianti disponibili, l’architettura più idonea alle proprie reali esigenze.