IT for dummies: che cos'è un Firewall

La difficoltà di spiegare le funzionalità dei sistemi IT è da sempre un grande problema per me, e come per me suppongo lo sia anche per altri colleghi.

Recentemente ho letto un libro che mi ha dato l'idea di paragonare sempre l'IT a elementi più noti alle persone, ed in particolare alle macchine (“The Phoenix Project”, di Gene Kim). Seguendo questa idea proverò a descrivere che cosa sia un Firewall. Questo blog non vuole essere un articolo tecnico, ma un “proof of concept” per meglio descrivere quale sia il funzionamento di questo apparato che, all'apparenza, non serve.

L'idea più semplice che mi sia venuta per descrivere un Firewall è quello di una guardiola d'ingresso di un complesso. Supponendo che complesso sia la vostra rete, i materiali stoccati nei magazzini siano i vostri dati, i camion ed i veicoli siano il mezzo di trasferimento dei dati (il protocollo TCP/IP) l'idea alla base della necessità di una guardiola è quella di assicurarci che possa entrare solo chi è autorizzato ad entrare.

Il Firewall di base

Il Firewall, nella metà del suo funzionamento, si assicura che solamente chi è autorizzato possa entrare all'interno del vostro complesso. La guardiola ferma tutti i veicoli che arrivano all'ingresso, controlla chi sia autorizzato o meno, respinge i veicoli non autorizzati e consente invece l'ingresso di quelli autorizzati. In questo modo, parzialmente, si può essere sicuri che sia consentito l'accesso unicamente ai mezzi autorizzati.

La metà che spesso manca, purtropp, è quella del controllo in uscita, ovverosia assicurarsi che solo i veicoli autorizzati possano uscire dal complesso. Potrebbe infatti capitare che qualcuno possa decidere di uscire dal complesso portandosi via prodotti che custodite all'interno e se la guardiola lavora solo in ingresso, sarebbe possibile uscire indisturbati.

Di fatto questo è esattamente ciò che succede quando un virus riesce a camuffarsi ed entrare all'interno del vostro sistema, ed è comunemente definito come Cavallo di Troia (Trojan Horse). Un po' come un camion che attraversa l'ingresso, con le carte in regola (ovviamente falsificate) e si parcheggia all'interno del complesso. Da questo camion scendono poi individui separati, liberi di muoversi per l'intero complesso, entrare in tutte le stanze indisturbatamente, prendere ciò che c'è di interessante e uscire nuovamente indisturbati, perchè la guardiola risulta essere “aperta” in uscita. Questa condizione di sicurezza “a metà” è la classica situazione in cui alle Aziende viene spacciato un “router con funzionalità di base di firewall”.

Il Firewall software: Windows Firewall (o iptables)

Un elemento di sicurezza estremamente importante di un complesso che conserva dati e che lavora, è sicuramente il controllo accessi agli edifici e agli uffici. Riprendendo l'esempio del camion entrato ricolmo di “spie”, il Firewall Software rappresenta il sistema di controllo accessi alla porta di ogni singolo ufficio. È quello strumento che evita il ripropagarsi di un virus all'interno di una rete, in ogni postazione (ufficio) che sia presente all'interno del vostro sistema, e disattivarlo può costituire un serio problema. Al pari di un controllo accessi alla porta, e della guardiola di ingresso al cancello, il Firewall Software richiede un certo sforzo amministrativo per la sua gestione iniziale, ma adottata una corretta procedura aziendale, tale sforzo può ridursi anche a zero.

Il Firewall Applicativo: Next Generation Firewall

Man mano che le informazioni assumono sempre più valore e le difese diventano più complesse, i tentativi di eludere i Firewall diventano sempre più complessi, e talvolta efficaci. Ecco che muta la nostra guardiola d'ingresso, si evolve anch'essa, e ora non solo verifica che solo i veicoli autorizzati possano passare, ma ne ispezionano il contenuto (Deep Inspection) per assicurarsi che sia anche conforme alle misure minime di sicurezza per entrare. Così accadrebbe che una guardiola di nuova generazione all'ingresso avrebbe intercettato il camion pieno di “spie”, perchè avrebbe aperto il vano di carico e bloccato l'ingresso trovando il carico non autorizzato. Parimenti il Firewall Applicativo si assicura che i veicoli in uscita siano ispezionati e non trasportino verso l'esterno elementi riservati, prevenendo così fughe accidentali di informazioni o di dati sensibili (processo tecnicamente noto come Data Leakage Prevention).

L'importanza degli aggiornamenti

Le tecniche di elusione della sorveglianza sono in rapida e intensiva evoluzione, sempre con l'intento di riuscire a penetrare le difese dell'Azienda per poterne estorcere informazioni, dati, segreti o denaro. Introdotte le mura di recinzione e i corpi di guardia (Firewall perimetrali) sono iniziati i tentativi di elusione dei controlli per entrare dai punti di ingresso noti, un po' come falsificare i documenti per entrare. Introdotti i controlli ispettivi sono iniziati metodi per “contrabbandare” parti necessarie per poter entrare nel perimetro e creare dei punti di accesso dall'interno (Backdoor) scavando un tunnel dall'interno dell'azienda verso l'esterno. Introdotto il controllo ispettivo sia di ciò che entra che di ciò che esce, le tecniche elusive diventano sempre più raffinate.

Gli aggiornamenti rappresentano un meccanismo per poter usufruire dell'esperienza (positiva o negativa che sia) di altre Aziende nel mondo che hanno trovato il modo di individuare e fermare una minaccia. Un po' come se si scoprisse che i documenti di identità dei conducenti con un certo numero di serie non fossero validi: un sistema di aggiornamento consente a tutte le guardiole del mondo di sapere tempestivamente come individuarle e bloccare i conducenti che dispongono di un documento falso (questi sono le firme degli AntiVirus e dei sistemi IPS anti-intrusione). E poi ci sono sistemi ancora più evoluti, in grado di raccogliere il “comportamento” dei veicoli delle guardiole di tutto il mondo, ed informare tutti quanti di un'anomalia, sistemi dinamici di allarme che al verificarsi di comportamenti spiacevoli o non autoirzzati di un singolo corriere di trasporti, possa informare della cattiva reputazione tutte le altre guardiole (le cosiddette Reputation Authority).

Questi aggiornamenti, contrariamente a quanto sia realmente possibile fare con le persone, sono frequenti e continui, nei sistemi che andiamo ad installare, avvengono anche una volta ogni ora.

Conclusione

Comprendere la reale funzione di un Firewall è importante per comprenderne il valore che riveste per il business delle imprese. In un periodo in cui qualsiasi dato abbia un valore, dalla decina di centesimi di euro per ogni singolo indirizzo e-mail, alla ventina di euro per un singolo documento d'identità valido, alle decine di migliaia di euro o anche milioni di un progetto o segreto industriale, il valore che la difesa che adottate alla porta d'ingresso della vostra Azienda deve essere consistente.

E se la domanda che vi ponete è “ma perchè dovrebbero attaccare proprio me?”, allora permettetemi di ribattere con un'altra domanda: lascereste mai casa vostra con la porta socchiusa quando andate in vacanza?

Contatti

Lavoro professionalmente nel settore IT dalla metà degli anni '90. Ho avuto occasione di sviluppare competenze orizzontali che mi hanno consentito di approcciare pressoché qualsiasi progetto IT. Dal 2005 il mio ruolo è stato principalmente quello di CTO in diverse realtà, da piccoli ISP a System Integrator. Dal 2017 ho iniziato a lavorare su una nuova piattaforma per la protezione della Proprietà Intellettuale e Diritto d’autore per la gestione e tutela di asset digitali.

C’è qualcosa in cui posso essere di supporto? Trovate i miei contatti a fondo pagina. Se avete curiosità o necessità sarò lieto di poter dare un riscontro.

Copyright

Immagine in heading "Watchguard-M4600" di En3pY su licenza CC-BY-NC-ND.