DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Questo sito web utilizza cookie per raccogliere informazioni su come Lei interagisce con il nostro sito. Per saperne di più visiti la nostra Privacy Policy.

Cinquanta Sfumature di Firewall

Cinquanta Sfumature di Firewall

Oggi iniziamo una serie di post dedicati ai vari tipi di firewall. Sarà una serie di 4 parti. Inizieremo con la revisione delle categorie di modalità di elaborazione di base dei firewall e dando una panoramica delle modalità del firewall. Nei post seguenti approfondiremo i firewall a livello di applicazione: WAF e DAF.

In questo articolo di apertura, discuteremo i tipi di firewall più ampiamente utilizzati, i loro vantaggi e potenziali svantaggi, nonché le tendenze attuali e le prospettive dello sviluppo di questa tecnologia.

Il firewall è la prima linea di difesa contro attacchi esterni e interni ed è un componente fondamentale di una strategia di sicurezza completa. I firewall vengono utilizzati per prevenire l’accesso non autorizzato alle risorse locali, svolgendo un ruolo cruciale in un sistema di sicurezza delle informazioni a più livelli. Può essere implementato in hardware e software, o una combinazione di entrambi. Filtra tutto il traffico in entrata e in uscita attraverso un unico punto di controllo della sicurezza concentrato e blocca le richieste che non soddisfano i criteri di sicurezza specificati.

In generale, ci sono due principali tecnologie secondo cui i firewall possono essere classificati: filtraggio dei pacchetti e filtraggio a livello di applicazione. Ogni tipo di firewall filtra e controlla il traffico di rete in modo diverso, ma questi due possono parzialmente sovrapporsi e possono essere implementati insieme in un unico sistema.

Firewall a Filtraggio di Pacchetti

La maggior parte degli apparecchi di rete utilizza la tecnologia di filtraggio. I filtri di pacchetti sono il meccanismo di controllo del traffico più basilare che opera a livello di rete. Consentono di far passare o bloccare i pacchetti in base agli attributi dell’intestazione del pacchetto: protocolli, indirizzi di origine e destinazione o numeri di porta. In alcuni casi, vengono analizzati altri attributi dell’intestazione, ad esempio, per determinare se il pacchetto fa parte di una connessione nuova o esistente. I filtri di pacchetti sono implementati utilizzando liste di controllo degli accessi (ACL). Quando un pacchetto raggiunge l’interfaccia del router, viene prima determinato se il pacchetto può essere consegnato o meno e poi viene verificato per la conformità con il set di regole esistente – ACL.

Le regole di filtraggio sono determinate in base a uno dei seguenti principi:

1) Tutto ciò che non è esplicitamente vietato è permesso

In questo caso, il firewall consente il passaggio dei pacchetti fino a quando non corrispondono a una regola di blocco. Questo approccio è più permissivo e semplifica l’amministrazione. Tuttavia, non definire tutte le regole necessarie porta a una configurazione impropria e all’inefficacia dello strumento di sicurezza.

2) Tutto ciò che non è esplicitamente permesso è vietato

In questo caso, il firewall nega il passaggio dei pacchetti a meno che non soddisfino una regola di filtraggio positiva. Questo principio fornisce un livello di protezione superiore. Dal punto di vista della sicurezza, questa opzione, in cui è consentito il passaggio dei pacchetti determinati e tutto il resto è bloccato, sarebbe preferibile. Da un lato, questo approccio accelera il processo di configurazione poiché il numero di pacchetti non consentiti è solitamente molto più elevato rispetto a quelli consentiti. Dall’altro, ogni tipo di interazione consentita richiede una o più regole.

Vantaggi:
* Il filtraggio dei pacchetti è la tecnologia di firewall più veloce ed è ampiamente diffusa.
* Di default, i firewall di rete sono inclusi nella maggior parte dei sistemi operativi dei computer e degli apparecchi di rete.
* Quando si creano le regole di filtraggio è possibile utilizzare informazioni al di fuori degli attributi dell’intestazione, ad esempio, il tempo e la data del passaggio del pacchetto di rete.

Disavvantag
* Il filtraggio dei pacchetti è la tecnologia di firewall meno sicura perché non ispeziona il traffico a livello di applicazione, il che porta a una vasta gamma di vulnerabilità di sicurezza.
* I filtri di pacchetti funzionano solo con le intestazioni e non ispezionano il carico utile del pacchetto, consentendo l’accesso attraverso il firewall con una quantità minima di scrutinio.
* I filtri di pacchetti non tracciano lo stato delle connessioni e quindi possono consentire il passaggio di un pacchetto da una sorgente che non ha sessioni attive al momento.
* Una configurazione appropriata richiede competenze avanzate di amministrazione del sistema e una profonda comprensione dello stack di protocolli TCP/IP.
* I filtri di pacchetti non dispongono di funzioni di auditing degli eventi o meccanismi di allarme.

Firewall a Livello di Applicazione

I firewall a livello di applicazione operano al livello di applicazione dello stack TCP/IP. Includono software e agiscono come intermediari tra il client e il server. Il filtraggio a livello di applicazione consente di eliminare la comunicazione diretta tra due nodi. Questo tipo di firewall intercetta i pacchetti in viaggio da o verso un’applicazione e blocca le richieste malevole basate sulle informazioni specifiche dell’applicazione. Scompone un pacchetto e ne analizza il contenuto, incluso il carico utile, per incongruenze, comandi non validi o malevoli.

Vantaggi:
* Il filtraggio a livello di applicazione offre il miglior livello di sicurezza. A differenza dei filtri di pacchetti, i firewall a livello di applicazione sono in grado di ispezionare non solo l’intestazione, ma l’intero pacchetto di rete per contenuti impropri. L’ispezione profonda del traffico in entrata e in uscita garantisce un grado di controllo più granulare.
* I firewall a livello di applicazione consentono una registrazione dei log più dettagliata. Le informazioni nei log sono molto utili per l’investigazione degli incidenti di sicurezza e l’implementazione delle politiche.
* I firewall a livello di applicazione hanno regole di filtraggio meno complicate.

Disavvantaggi:
* Tutti i vantaggi menzionati comportano un costo più elevato.
* I firewall a livello di applicazione non eccellono in velocità e prestazioni. L’esame approfondito del contenuto del pacchetto richiede più tempo rispetto al filtraggio tradizionale dei pacchetti, rallentando notevolmente le prestazioni della rete e influenzando negativamente la capacità di gestire il traffico.

Tra i firewall a livello di applicazione ci sono i WAF (Web Application Firewall) progettati per proteggere le applicazioni e i server web dagli attacchi basati su web; i DAF (Database Access Firewall) che mirano alla protezione del database; i DNS Application Firewall, ecc.

Panoramica delle Modalità del Firewall

Proxy Firewall

Un proxy firewall agisce come intermediario tra un client e un server reale, stabilendo la connessione per conto del client. Per ottenere contenuti dagli host server esterni, il client invia richieste al firewall, che a sua volta avvia una nuova connessione basata sulla richiesta ricevuta. Le richieste vengono valutate in base al set di regole esistente e quindi il firewall blocca o consente la connessione. Se la richiesta non contiene parametri vietati, il firewall concede l’accesso al server di origine. Dopo aver ricevuto una risposta dal server, il firewall la convalida e, se la risposta è accettata, la inoltra al client che ha originato la richiesta. Il filtraggio è implementato basandosi su molti parametri, tra cui gli indirizzi IP di origine e destinazione, gli allegati, l’ora della richiesta, ecc.

Il proxy firewall è il tipo di firewall più affidabile. Garantisce un livello di sicurezza aumentato attraverso il filtraggio approfondito dei pacchetti, il controllo delle richieste e la registrazione dettagliata. Il proxy firewall non consente mai la comunicazione diretta tra un client interno e il vero server del servizio esterno o il forwarding diretto dei pacchetti tra due nodi. In questo modo, gli indirizzi IP interni sono schermati dai server esterni e c’è una minima possibilità che qualcuno possa analizzare la topologia dell’intranet utilizzando le informazioni contenute nei pacchetti in entrata e in uscita.

Utilizzando i registri di audit, gli amministratori sono in grado di monitorare l’attività degli utenti e identificare tentativi di violare le politiche di sicurezza del firewall. La memorizzazione cache consente di ridurre il traffico, bilanciare il carico e dimezzare il tempo necessario per il client per accedere alle informazioni.

Reverse Proxy Firewall

In generale, un reverse proxy è un normale server web con alcune funzionalità aggiuntive tra cui il reindirizzamento degli URL. Il Reverse Proxy Firewall funziona nello stesso modo di un proxy normale con l’unica differenza che un reverse proxy è utilizzato per proteggere i server e non i client. Il reverse proxy si trova anche tra il client e il server effettivo, ma è trasparente per il client e agisce per conto di un server web. I client non vedono il reverse proxy, tutto appare come se si rivolgessero direttamente al server web, a differenza del proxy in cui i client sanno di connettersi attraverso un proxy.

Quando un reverse proxy riceve una richiesta da un client, non la elabora, ma la reindirizza a un altro server o a un insieme di server e invia la risposta al client. L’inoltro delle richieste a un insieme di server consente di aumentare le prestazioni e bilanciare il carico. Il reverse proxy inoltre memorizza i dati nella cache per ridurre il carico sulla rete o sul server. Per mantenere il suo anonimato, il Reverse Proxy Firewall intercetta le richieste prima che raggiungano il server.

Transparent Proxy Firewall

Il Transparent Proxy è anche conosciuto come “Bump in the Wire”. Risiede sul gateway e intercetta le richieste dei client. Ai client viene data l’impressione di collegarsi al server effettivo, non sono consapevoli che esiste un server proxy che media le loro richieste. Il Transparent Proxy inoltre memorizza contenuti nella cache e non richiede alcuna configurazione lato client. In questa modalità, il firewall è in grado di filtrare il traffico tra gli host.

Next Generation Firewall

Con l’evolversi del mercato dei firewall aziendali, i fornitori di software cercano di andare oltre le capacità dei firewall tradizionali e aggiungere funzionalità che aumenterebbero notevolmente l’efficacia e l’efficienza dei firewall. Il Next Generation Firewall è un sistema integrato che combina la tecnologia dei firewall tradizionali con altre funzionalità di sicurezza di rete come il Deep Packet Inspection (DPI), Integrated Intrusion Protection System (IPS), ispezione SSL e SSH, rilevamento malware basato sulla reputazione, ecc.

I Next Generation Firewall dovrebbero integrare diverse funzionalità chiave:
* controllo continuo delle applicazioni e protezione contro attacchi e intrusioni sofisticate;
* capacità tradizionali dei firewall aziendali: analisi dei pacchetti, filtraggio e reindirizzamento del traffico, autenticazione delle connessioni, blocco dei protocolli e dei contenuti, crittografia dei dati, ecc.;
* audit e analisi avanzati del traffico, comprese le applicazioni;
* integrazione con sistemi aziendali di terze parti e applicazioni (SIEM, sistemi di gestione dei dati, ecc.);
* collezioni regolarmente aggiornate di descrizioni delle applicazioni e delle potenziali minacce.

Gradualmente sempre più organizzazioni stanno trasferendo le loro operazioni al cloud e adottando tecnologie di virtualizzazione dei dati. Con questo, i Next Generation Firewall sono sempre più richiesti, ma il fattore principale che influenza lo sviluppo del mercato è l’alto costo di implementazione e supporto del sistema iniziale. Le piccole e medie imprese esitano a investire in questa tecnologia. Ecco perché i fornitori che servono questo mercato si concentrano principalmente sulle grandi imprese.

DataSunrise Database Firewall

DataSunrise Database Firewall funziona in Modalità Reverse Proxy con la Modalità Trasparente in arrivo. Il firewall di DataSunrise è un Firewall di Accesso al Database e implementa audit dettagliati e filtraggio delle richieste per garantire un livello avanzato di controllo e sicurezza del database.

DataSunrise supporta tutti i principali database e data warehouse come Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata e altro. Può scaricare una versione di prova gratuita se desidera installarlo nei suoi ambienti. Nel caso in cui sia un utente cloud e gestisca il database su Amazon AWS o Microsoft Azure, può ottenerlo dal mercato AWS o mercato Azure.

 

Nel prossimo post, dedicato ai Web Application Firewall (WAF), parleremo di perché le aziende prestano particolare attenzione a questa tecnologia e come differisce dai firewall di rete tradizionali, dai NGFW (Next Generation Firewall) e dagli IPS (Intrusion Prevention Systems).

 

Successivo

WAF. Un Cavaliere Splendente

WAF. Un Cavaliere Splendente

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Vendite:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]