Firewall: un elemento portante della sicurezza che tutti noi abbiamo sentito
citare almeno una volta nella vita, ma che spesso è poco conosciuto in tutte le
sue varie implementazioni e nei suoi utilizzi.
Oggi in questo articolo scopriremo di cosa si tratta, quali sono le varie tipologie, come può essere utilizzato e che tipologie di sicurezza ci può dare.
Buona lettura!
Che cos’è un firewall?
Il firewall è uno strumento che ha avuto una forte evoluzione negli anni e che
ci protegge e protegge le nostre infrastrutture dagli attacchi esterni.
Firewall tradizionali
Cominciamo parlando dei firewall tradizionali.
I firewall tradizionali lavorano semplicemente su due livelli:
- quello dell’indirizzo IP, quindi dell’indirizzo del vostro PC o con cui il vostro PC si presenta sulla rete
- quello della porta, quindi dell’applicazione che state andando a vedere.
I firewall tradizionali, pertanto, possono limitare le tipologie di traffico su questa base, quindi possiamo dire che il tale IP non può accedere al tale server, oppure che il tale servizio non è accessibile a tutti gli IP ma solo ad alcuni.
I firewall tradizionali hanno un perimetro d’azione piuttosto limitato a livello di
consapevolezza, che però è funzionale a garantire un buon livello di protezione.
I firewall possono essere configurati secondo due filosofie:
- tutto il traffico non esplicitamente consentito è negato
- tutto il traffico non esplicitamente negato è consentito
Sono due filosofie completamente diverse e quando parliamo di sicurezza possiamo applicarne solo una, ovvero “tutto il traffico non esplicitamente consentito è negato”.
Questo tipo di configurazione ci permette di far sì che abilitiamo il resto del mondo a vedere le nostre applicazioni nel nostro server solo per ciò che noi desideriamo che veda. Quindi, se per sbaglio installiamo un applicativo che si espone e che non deve essere visibile, oppure se è rimasta una configurazione di default di un servizio, e così via, questo non sarà visibile se non è nelle policy esplicitamente garantite.
Questa modalità di lavoro ci permette di ridurre la quantità di servizi esposti, quindi riduce sensibilmente il perimetro e le risorse attaccabili. Questo ovviamente garantisce un primo livello di sicurezza importante.
Firewall di nuova generazione
I firewall hanno poi subito tutta una serie di evoluzione sino ad arrivare ai firewall di nuova generazione.
Si tratta di firewall che comprendono un livello superiore, quindi comprendono le applicazioni che monitorano, la navigazione web, tutto lo scambio dati tra il browser e il server web, l’FTP, comprendono i protocolli e possono analizzare quello che succede a livello di questo scambio (che è superiore all’indirizzo IP e alla porta su cui lavorano i firewall tradizionali).
Hanno due funzionalità particolari che sono:
- l’IDS → Intrusion Detection System
- l’IPS → Intrusion Prevention System
Ciò significa che i firewall di nuova generazione hanno la capacità di guardare all’interno della comunicazione tra il client (il vostro cliente, quindi il browser web) e il server (quindi il server web su cui sta il vostro sito).
Guardano all’interno e se riconoscono una serie di pattern o di tipologie di pacchetto che possono individuare un attacco l’IPS lo segnala avvisandovi , oppure l’IDS interviene direttamente troncando la comunicazione.
WAF: Web Application Firewall
Tra i firewall di nuova generazione, quindi questo livello di comprensione e quello che poi è il livello attuale di firewall (di Cloud firewall che sono una cosa ancora più complessa) abbiamo un applicativo particolare che in All You Cloud usiamo spesso per proteggere le applicazioni: il WAF, ossia Web Application
Firewall.
Si tratta di uno strumento, spesso in Cloud, che comprende perfettamente il protocollo web e che spesso è misurato sulle varie applicazioni. Ad esempio, i WAF moderni sono configurabili per WordPress, quindi conoscono WordPress, conoscono i suoi pattern d’attacco, le sue vulnerabilità e rispondono in tempo reale a un tentativo d’attacco.
Quindi, se io metto il mio sito WordPress dentro WAF probabilmente riduco molto la possibilità di essere bucato.
Perché la riduco? Perché il WAF è uno strumento che viene costantemente aggiornato con le vulnerabilità di WordPress e quindi, quando riceve un tentativo d’attacco, lo riconosce e lo blocca subito.
Il WAF ha molte funzioni: ad esempio, ha delle Black List, che spesso sono strumenti in Cloud, tramite le quali riesce a riconoscere un attacco e ad inserire gli IP, inserendoli appunto nella Black List.
Questo significa che, se un sito di un’altra persona è stato attaccato ed è stato rilevato l’attacco, quell’IP andrà in Black List e non proverà nemmeno l’attacco verso di me perchè il WAF lo avrà già bloccato.
I WAF hanno anche funzione di CDN in alcuni casi, quindi hanno dei server di prossimità a livello geografico che permettono al vostro sito di andare più veloce.
Il WAF è uno strumento particolarmente importante quando parliamo di
applicazioni web conosciute (come i principali CMS: WordPress, Drupal, Joomla! e altre tipologie di CMS o di applicativi per fare siti web o e-commerce) perché è uno strumento manutenuto e aggiornato per rispondere a quelle criticità di sicurezza di quell’applicativo lì e quindi, anche se rimanete indietro di un aggiornamento o non siete tempestivi nel fare un’attività, probabilmente sarete coperti da un eventuale attacco e il rischio di una compromissione del vostro sito si ridurrà in maniera importante.
Firewall Cloud
L’ultima tipologia di firewall, la più diffusa ultimamente, è il Firewall Cloud.
Si tratta di uno strumento che sta in Cloud, o che si relaziona con un Cloud, e che acquisisce informazioni da tutte le sonde e tutti i sensori che ha in giro per il mondo e da tutti i clienti che lo utilizzano e che, quindi, risponde sulla base anche di un’intelligenza e di una mole di dati importante che riceve da tantissime stimolazioni.
Conclusioni
Ricapitolando: il firewall è uno strumento di protezione che nel tempo ha avuto una forte evoluzione: partendo dai firewall tradizionali, che conoscono solo l’indirizzo del vostro PC e la porta a cui state accedendo, andando a quelli di nuova generazione, che ispezionano i protocolli, fino ad arrivare ai WAF e i Firewall Cloud.
Noi in All You Cloud utilizziamo le funzionalità del firewall tradizionale con la filosofia di cui abbiamo parlato, quindi tutto ciò che non è esplicitamente autorizzato è negato. Questo ci permette da un lato di ridurre la superficie d’attacco e dall’altro di limitare eventuali danni in caso in cui un attacco dovesse avere successo su un sito.
Utilizziamo le funzioni di IDS, quindi analizziamo tutto il traffico in entrata e in uscita dalla rete e monitoriamo se rileviamo particolari pattern d’attacco per poter andare a segnalare ai clienti eventuali criticità o per poter noi intervenire
con misure nuove.
Infine, ti suggeriamo (soprattutto se hai siti con WordPress o altri CMS che possono essere più facilmente soggetti ad attacchi che vanno a buon fine per mancanza di aggiornamento o per altre criticità) l’utilizzo di un WAF che ti permetterà di dormire sonni tranquilli.
Se sei interessato a valutare come meglio applicare le soluzioni firewall alla
tua infrastruttura o al tuo sito, puoi compilare il form nella nostra pagina Contatti e insieme valuteremo quale può essere la migliore strategia per
proteggere con i sistemi firewall le tue applicazioni!
