Oggi più che mai aziende e privati hanno la necessità di proteggere le proprie reti private dalle minacce che si propagano attraverso la rete.
Virus, malware e siti pericolosi possono essere bloccati a monte mediante l’utilizzo di dispositivi come i firewall o la DMZ.
Nell’articolo vedremo una panoramica su entrambe le tecnologie, le differenze tra le due e come possono essere integrate nell’ottica di una difesa di rete efficace.
- Che cos’è il firewall
- Principali tipologie di firewall
- Cosa si intende per DMZ
- Differenze fra firewall e DMZ
- Principali applicazioni di firewall e DMZ
- Conclusioni
Che cos’è il firewall
Un firewall è un dispositivo di sicurezza che monitora e controlla il traffico di rete in entrata e in uscita in base a un set di regole predefinite. Il suo obiettivo principale è impedire l’accesso non autorizzato in una rete privata.
I firewall sono progettati per operare da barriera tra la rete interna di un’organizzazione e il mondo esterno, che include:
- Internet
- altre reti private
- qualsiasi altra fonte non attendibile
Sono spesso indicati come la prima linea di difesa contro gli attacchi informatici e svolgono un ruolo fondamentale nella protezione dell’infrastruttura di rete da un’ampia gamma di minacce, come malware, virus e tentativi di accesso non autorizzati.
Solitamente si trovano firewall hardware, che sono dispositivi fisici posti all’ingresso della rete locale, oppure software, costituiti da apposite applicazioni in running sui dispositivi aziendali al pari degli antivirus. Talvolta si hanno anche approcci misti, per una protezione più efficace.
In tutti i casi, il punto più importante per il corretto funzionamento della tecnologia è il settaggio iniziale, nel quale vengono regolati i criteri che il firewall seguirà nella sua azione di controllo.
L’insieme delle regole, detto policy, può avvenire generalmente secondo due approcci:,
- criterio di default-deny, per il quale viene permesso solo ciò che viene dichiarato esplicitamente, mentre il resto viene vietato
- criterio di default-allow, che vieta solo ciò che è esplicitamente proibito, permettendo il passaggio di tutto il resto
Principali tipologie di firewall
Oltre alla classificazione hardware/software i firewall possono essere suddivisi in base alla tecnologia implementata.
In funzione di ciò, si potranno dunque distinguere:
- Firewall con packet filtering: questo tipo di firewall esamina ogni pacchetto di dati che lo attraversa secondo un insieme di regole predefinite. Se il pacchetto soddisfa le regole, può entrare in rete locale, altrimenti viene bloccato
- Firewall con Stateful Inspection: in questo caso si va oltre il filtraggio dei pacchetti, esaminando lo stato della connessione tra due dispositivi. Ciò consente di prendere decisioni più intelligenti su quali pacchetti lasciar passare o bloccare in base al contesto della connessione
- Firewall proxy: la tecnologia è in grado di intercettare tutto il traffico di rete e funge da proxy tra il dispositivo sorgente e il dispositivo di destinazione. Ciò consente al firewall di esaminare il contenuto del traffico e prendere decisioni più informate in merito se consentirlo o bloccarlo
- Next Generation Firewall (NGFW): sviluppata da ormai un decennio, è la versione attualmente in uso nella maggior parte dei sistemi di cybersicurezza. Essa incorpora funzionalità avanzate come prevenzione delle intrusioni, malware rilevamento e filtraggio a livello di applicazione. Ciò consente al firewall di fornire una protezione più completa contro a vasta gamma di minacce
- Firewall as a Service (FWaaS): una soluzione di ultima generazione basata su cloud che fornisce funzionalità di firewall di rete tramite un erogatore di servizi di terze parti. Il FWaaS aiuta le imprese a proteggere le proprie infrastrutture cloud e il perimetro di rete filtrando il traffico in entrata e in uscita e applicando criteri di accesso
In sintesi, quindi, i firewall rappresentano una componente essenziale della strategia di sicurezza informatica di qualsiasi impresa. Aiutano a prevenire accessi non autorizzati alla rete, proteggere i dati sensibili da furti e garantire la conformità alle normative ed agli standard. Man mano che gli attacchi informatici diventano sempre più sofisticati, i firewall continuano a evolversi per fornire soluzioni più avanzate di protezione contro le minacce moderne.
Cosa si intende per DMZ
Una DMZ (dall’inglese Demilitarized zone) è un’architettura di sicurezza che fornisce un segmento di rete isolato separato dalla rete interna, solitamente di un’azienda, e dai servizi connessi a Internet.
Lo scopo di una zona demilitarizzata è creare un’area protetta che funga da cuscinetto tra la rete locale e quella esterna, fornendo un ulteriore livello di protezione contro le minacce esterne.
Ad esempio, una DMZ può impedire agli aggressori di sfruttare le vulnerabilità nei servizi connessi a Internet per
- ottenere l’accesso alla rete interna
- rubare dati sensibili
- lanciare un attacco Denial-of-service
In genere, essa contiene dei server che forniscono servizi a cui è necessario accedere da Internet, come:
- server Web
- server di posta elettronica
- server DNS
La DMZ viene solitamente implementata utilizzando un firewall o altri dispositivi di sicurezza per il controllo dell’accesso, in entrambi i casi questi devono essere propriamente dimensionati e impostati per bloccare il traffico ritenuto pericoloso.
Tipologia di DMZ
Come per i firewall, è possibile catalogare anche le DMZ in funzione delle diverse esigenze di configurazione.
Tra queste possiamo individuare:
- DMZ basata sul perimetro: con questa configurazione, la DMZ è posizionata tra il router di bordo e il firewall. La DMZ ospita i server pubblicamente accessibili, mentre il firewall filtra il traffico in ingresso e in uscita tra la DMZ e la rete esterna. Questo tipo di DMZ fornisce una barriera di protezione tra Internet e la rete interna
- DMZ a tre zone: Questa tipologia di DMZ prevede la creazione di tre zone separate: una zona esterna, una zona interna e una DMZ intermedia. La DMZ intermedia funge da punto di transito tra la zona esterna e la zona interna. I server pubblici vengono collocati nella DMZ intermedia, fornendo un ulteriore strato di sicurezza per la rete interna
- DMZ ad accesso remoto: progettata per consentire l’accesso remoto sicuro ai server interni. I server che richiedono l’accesso remoto vengono posizionati nella DMZ, con un sistema di autenticazione e un gateway sicuro che controlla l’accesso da remoto. In questo modo, i server interni sensibili rimangono protetti e separati dalla rete esterna
- DMZ virtuale: questa configurazione sfrutta le tecnologie di virtualizzazione per creare una DMZ virtuale all’interno di un server fisico. I server nella DMZ virtuale sono isolati virtualmente l’uno dall’altro e possono essere gestiti in modo flessibile senza la necessità di hardware fisico dedicato. Questo offre una maggiore flessibilità e scalabilità nella gestione della DMZ
- DMZ distribuita: in una DMZ distribuita, i server pubblici vengono collocati in diverse posizioni geografiche, creando una distribuzione geografica dei server pubblici. Questo aiuta a migliorare la ridondanza e la tolleranza ai guasti, oltre a fornire una migliore protezione contro gli attacchi mirati.
Le tipologie di DMZ possono variare a seconda delle esigenze specifiche dell’organizzazione e delle tecnologie di sicurezza utilizzate. È importante pianificare attentamente la configurazione della DMZ per garantire una corretta protezione della rete interna e dei server pubblici.
Ogni tipo di DMZ fornisce un diverso livello di sicurezza e funzionalità, a seconda delle esigenze e dei requisiti specifici dell’organizzazione.
Differenze fra firewall e DMZ
La differenza essenziale tra firewall e zona demilitarizzata sta nella funzione:
- il primo è un dispositivo fisico o un software per il filtraggio dei pacchetti di dati
- la seconda è un’area cuscinetto tra la rete interna ed i servizi sono esposti alla rete esterna, non sicura
I due, inoltre, differiscono nella posizione: mentre il firewall è posto tra le reti, la DMZ è interna al perimetro della rete locale.
A livello di protezione, poi, i firewall proteggono da un’ampia gamma di minacce esterne, come malware, virus e accessi non autorizzati, mentre le DMZ difendono rispetto a pericoli specifici mirati ai servizi connessi a Internet, come gli attacchi DDoS e attacchi SQL injection.
La realizzazione di una DMZ può avvenire in diversi modi a seconda delle dimensioni di rete e delle esigenze aziendali; tuttavia, molto spesso si sfruttano proprio i firewall a questo scopo.
Due tra le configurazioni più note sono quelle a singolo e doppio firewall, che possono essere ulteriormente ampliate nel caso in cui si abbia bisogno di una maggiore complessità.
Nel caso del singolo firewall, esso dispone di almeno tre interfacce di rete, le quali mettono in connessione:
- la rete esterna, dalla quale arriva il traffico Internet
- la rete interna
- la DMZ, che contiene i servizi offerti
Il problema di un approccio del genere sta nell’unico firewall, che, in caso di guasto o attacco, spianerebbe la strada ad eventuali minacce.
Per questo è stata pensata anche una topologia a doppio firewall, in cui:
- il primo è esterno e filtra il traffico che transita dalla rete esterna alla DMZ
- il secondo, invece, è interno e consente il solo transito dei pacchetti dalla zona demilitarizzata alla rete locale
In questo caso le probabilità che entrambi i punti si danneggino contemporaneamente sono minori rispetto alla configurazione a singolo firewall.
Probabilità che si abbassano ulteriormente utilizzando due dispositivi di diversi fornitori.
Tra i contro di un tale approccio c’è la maggiore complessità di inizializzazione e gestione ed il maggiore esborso economico
Principali applicazioni di firewall e DMZ
Avendo compreso caratteristiche e le reciproche configurazioni, passiamo ora ad esaminare rispettivamente cosa fa un firewall e una DMZ.
Tra i più importanti utilizzi di firewall e DMZ ricordiamo:
- Protezione contro le minacce esterne: i firewall e le DMZ forniscono protezione contro le minacce esterne impedendo l’accesso non autorizzato all’infrastruttura di rete
- Controllo del traffico di rete: i firewall e le DMZ consentono alle organizzazioni di controllare il traffico di rete consentendo o negando il traffico in base a regole predefinite
- Isolamento dei servizi connessi a Internet: le DMZ isolano i servizi connessi a Internet dalla rete interna, riducendo il grado di esposizione agli attacchi informatici
L’uso di queste tecnologie, inoltre, è richiesto esplicitamente in molti protocolli di sicurezza, come nel caso della normativa PCI DSS riguardante la regolamentazione dei circuiti di pagamento elettronici (i.e. carte di credito, etc.)
I firewall e le DMZ spesso sono utilizzati in combinazione per fornire una sicurezza a più livelli per l’infrastruttura di rete.
Si usano infatti i firewall come filtro da e verso la rete esterna e la zona demilitarizzata come ulteriore layer di protezione.
All’interno della DMZ, infatti, possono essere utilizzati dei protocolli come IDS e IPS, che sono rispettivamente i sistemi di rilevamento e prevenzione delle intrusioni.
Essenzialmente, si tratta di componenti software in grado di:
- rilevare anomalie nel traffico
- identificare l’esecuzione di codice non previsto
- bloccare le intrusioni trovate.
Più nello specifico, IPS può anche effettuare delle operazioni come eliminare pacchetti pericolosi, segnalare anomalie tramite allarmi, bloccare il traffico da un indirizzo IP sospetto e fare il reset delle connessioni.
Conclusioni
Firewall e DMZ sono due delle più importanti tecnologie di sicurezza informatica utilizzate dalle imprese per proteggere le proprie infrastrutture di rete.
Mentre i firewall forniscono una barriera contro l’accesso non autorizzato, le DMZ forniscono un ulteriore livello di protezione per i servizi connessi a Internet. Combinando firewall e DMZ si può creare una strategia di difesa più completa, che fornisca diversi strati di protezione contro le minacce esterne.
Difatti, con la crescente frequenza e sofisticatezza degli attacchi informatici, oggi più che mai è necessario pensare la sicurezza in un’ottica globale, unendo più contributi e dispositivi per difendersi efficacemente.
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.