Scopriamo i firewall

Letta 3846 volte

Quando il WEP non basta a proteggere la propria rete wireless da intrusioni esterne arrivano i "muri di fuoco": i firewall. In Rete circolano varie versioni gratuite da installare sul PC per stare più tranquilli quando si naviga o si scarica qualcosa su Internet, il più famoso di tutti è Zone Alarm.
Ma in pratica che cosa fa un firewall?
Il suo compito consiste nel filtrare il traffico di dati che entra ed esce dal nostro PC o dal nostro server, come è naturale che sia sono stati sviluppati diversi tipi di firewall, ciascuno che si avvicinasse sempre più alle esigenze del mercato. Certamente una grande multinazionale non si affiderà a Zone Alarm per proteggere i propri database con informazioni aziendali top secret, il software in questione è più che adatto per un normale navigatore o per chi ha una piccola rete domestica.

Possiamo distinguere tre diversi tipi di firewall:
- i packet filter;
- i dynamic packet filtering;
- gli application gateway, per gli amici proxy;

Prima di descrivere nel dettaglio le varie tipologie di firewall, è bene specificare che un firewall può essere semplicemente un software, quale Zone Alarm, o un hardware corredato dal software. La differenza è notevole in quanto in un PC domestico che è collegato direttamente alla rete è sufficiente un firewall software, visto che il traffico dati non attraversa nessun altro terminale, in una rete locale invece avere un firewall software può essere utile solo per proteggersi da attacchi interni alla rete stessa, mentre per attacchi esterni il filtro deve essere attivo prima che il traffico entri nella LAN stessa, cioé tra il router e il modem.

Il tipo di firewall più semplice è il packet filter, questi si limitano ad eseguire un filtro del traffico dati analizzando l'indirizzo IP e la porta di destinazione, così se si vuole limitare gli utenti a navigare su Internet (HTTP) e a prendere la posta (PO3), basta applicare un filtro sulle porte 80 e 100, le uniche da cui i client sono abilitati a ricevere dati, oppure se si vuole che i client possano vedere solo www.retisenzafili.com è sufficiente escludere tutte le richieste che non siano dirette all'host 213.198.153.45.

Ovviamente il packet filter è una forma molto semplificata di un firewall, uno dei problemi principali del packet filter è stato risolto dal suo successore il dynamic packet filter: in questo tipo di firewall viene implementato il concetto di sessione, che è uno dei livelli principali delle comunicazioni client/server. Quando due PC devono comunicare o devono chiudere una comunicazione sono soliti "salutarsi" inviare cioé dei messaggi di richiesta e di conferma di avvenuta operazione (SYN e ACK). Riconoscendo questo scambio di "saluti" il firewall di tipo dynamic packet filter capisce quando le comunicazioni con un determinato host sono terminate e chiude quindi definitivamente il canale che era stato aperto, cosa che al contrario non accade nel filtraggio statico del packet filter.

Il dynamic packet filtering però non si concentra su cosa i pacchetti di dati siano, cioé cosa contengano, ma si limita a capire da chi arrivano (host e porta) e se esiste una sessione con questa stazione remota. La sicurezza è finora limitata, infatti mettere in ascolto sulla porta 80 i server Web o sulla porta 100 i server Mail è solo una convenzione, nulla impedisce di utilizzare sul proprio quelle stesse porte per altre applicazioni, casomai dannose per chi ci si connette.
Proprio per evitare questo tipo di pericolo sono state sviluppati firewall più complessi, gli application gateway o proxy, che riescono a capire cosa i pacchetti di dati contengono, quali comandi sono stati inviati e a quali operazioni questi comandi corrispondono. I proxy permettono quindi di implementare regole di filtro molto più complicate, con relativo aumento della sicurezza.
Nonostante la qualità del servizio effettuato dai proxy, anch'essi presentano dei problemi: innanzitutto creano un collo di bottiglia all'interno della rete, in quanto devono applicare le proprie complesse regole a ciascun pacchetto trasmesso; poi non sono facilmente adattabili a nuovi protocolli, infatti prima che un proxy riesca a filtrare il traffico di un nuovo protocollo è necessario che il produttore del firewall produca un modulo apposito.

Passiamo dalla teoria alla pratica e vediamo come mettere su un firewall sul nostro PC, ricorriamo a ZoneAlarm, a cui abbiamo già fatto cenno, che è tra l'altro freeware (potete trovarlo nella nostra area Download).

Autore: Roberto , 18.06.03

[ 1 2 ]