Firewall hardware: cos’è, come funziona e a cosa serve, la guida completa.

La storia ci insegna come sin dall’antichità il modo più efficiente per evitare le intrusioni dei nemici nei luoghi a noi più cari sia costituito dall’innalzare mura sufficientemente solide per resistere ad eventuali assalti, dandoci il tempo necessario per contrattaccare e respingere la minaccia o i malware.

Nell’era del digitale e dell’informatica, sono variate le modalità, ma i concetti basilari della difesa sono più che mai attuali, al punto che i firewall continuano a costituire degli elementi fondamentali per la sicurezza informatica di una rete aziendale.

In questo approfondimento ci soffermeremo in particolar modo sui firewall hardware.

Ci chiederemo cosa sono, come funzionano e per quale motivo oggi una buona infrastruttura di rete non dovrebbe farne a meno, a condizione di scegliere la configurazione più adatta alle nostre esigenze.

Cos’è un firewall hardware

I firewall hardware sono tra i componenti più diffusi nell’ambito di un’infrastruttura di rete e il loro compito è quello di agire da filtro di sicurezza nei confronti del traffico dati che transita attraverso i vari dispositivi connessi alla rete aziendale e la rete internet.

Rispetto alla sua concezione generica (qui la guida completa alla definizione generale di firewall), il firewall hardware si contraddistingue per essere un dispositivo fisico dotato di porte a cui i dispositivi di una rete vengono fisicamente connessi.

Tale configurazione di rete consente al firewall hardware di avere un controllo diretto sul traffico e di non dover sottrarre risorse agli altri dispositivi connessi, gravando ad esempio su un server che sarebbe chiamato ad eseguire la parte software che un firewall richiede per controllare il traffico sulle porte di uno switch, effettuare le scansioni antivirus, filtrare le minacce e svolgere tutte le funzioni utili a costituire una efficace barriera contro le intrusioni malevole.

Un firewall hardware può quindi controllare in maniera puntuale il traffico diretto ai server, sulla base di regole specifiche che consentono ai dati legittimi di accedere regolarmente tramite le porte previste. Il firewall deve proteggere ma non deve costituire un muro invalicabile, altrimenti finirebbe soltanto per rendere impossibile lo scambio dei dati sulla rete.

Come vedremo nella parte conclusiva di questo approfondimento, una delle ragioni per cui in una infrastruttura di rete aziendale si ricorre spesso ad un firewall hardware è quella di poter limitare il più possibile l’impiego dei firewall software eseguiti direttamente sulle macchine, che risultano particolarmente esosi in termini di risorse e scomodi da mantenere, rendendo decisamente auspicabile un’interfaccia hardware centralizzata.

Concentrare le funzioni di firewall su dispositivi hardware specifici rende inoltre più flessibile l’integrazione con i SIEM o altri moderni sistemi antintrusione, sempre più utilizzati nell’ambito della cybersicurezza aziendale.

 

Come funziona un firewall hardware

Nell’architettura di rete, il firewall hardware viene collocato tra la rete interna e la rete internet in modo da innalzare quel “muro di fuoco” che impedisce ai malintenzionati di penetrare all’interno del perimetro di sicurezza per installare malware, esfiltrare dati e svolgere qualsiasi attività possa costituire una minaccia alla sicurezza dei dati e delle infrastrutture aziendali.

In base alle logiche di funzionamento, ad oggi ci sono ben cinque tipologie di firewall:

  • Packet filtering firewall

  • Circuit-level gateway

  • Application-level gateway (o proxy firewall)

  • Stateful inspection firewall

  • Next-generation firewall (NGFW)

Nello specifico di un firewall hardware è inoltre diffusa la seguente categorizzazione:

  • bridging firewall: due segmenti di rete vengono collegati sullo stesso livello ISO/OSI. I dati in entrata e in uscita vengono instradati se si trovano su questo livello;
  • routing firewall: lavora direttamente sulla rete e filtra le porte e gli indirizzi IP. Si tratta del modello di firewall hardware attualmente più diffuso;
  • proxy firewall: coincide con l’application-level gateway descritto in precedente. Lavora infatti a livello dell’applicazione per attivare filtri e misure di sicurezza più specifiche rispetto al bridging firewall e al routing firewall.

Nella sua configurazione più elementare, un firewall si configura come un semplice filtro dei pacchetti di dati che vengono scambiati attraverso una rete. Sulla base di una serie di informazioni correlate ed alle autorizzazioni preimpostate, il firewall è in grado di riconoscere se i dati analizzati costituiscono una minaccia per il sistema, provvedendo a bloccarli per evitare conseguenze dannose. Qualora i dati risultino conformi alle autorizzazioni richieste, il firewall consente il normale inoltro verso la destinazione.

I firewall possono analizzare i dati in entrambe le direzioni, applicando simili logiche anche nei confronti del traffico in uscita, effettuando così una doppia verifica, utile ad impedire la diffusione di informazioni non autorizzate e a fornire elementi molto preziosi ai sistemi di monitoraggio della rete, per cui i firewall hardware si configurano come nodi funzionali di fondamentale importanza.

Tra le tipologie precedentemente elencate, i next-generation firewall (NGFW) costituiscono l’implementazione più completa, in grado di combinare tecnologie di analisi del traffico di moderna concezione, come il deep packet inspection (DPI), oltre ad integrarsi in maniera nativa con le funzioni di altri sistemi utilizzati per garantire il monitoraggio e la sicurezza della rete, come i già citati SIEM, i vari intrusion detection system (IDS), i controller di endpoint, i filtri malware, gli antivirus e molti altri.

Vantaggi per i Managed Service Provider

In particolare, il DPI, rispetto a quanto avviene sui firewall di precedente concezione, estende il controllo all’intero pacchetto di dati, anziché limitarsi all’header del protocollo con cui viene trasmesso. In questo modo, il firewall riesce a tracciare l’evoluzione di tutta la sessione di web browsing, garantendo una visibilità bidirezionale, che consente di verificare la coerenza della risposta del server alla richiesta http che la ha generata.

Per svolgere il suo lavoro con il più elevato livello di efficienza possibile, un next-generation firewall deve essere integrato con sistemi di sicurezza in grado di garantire un’ampia visibilità su quanto avviene su tutti i dispositivi connessi alla rete, ma la capacità di combinare la DPI con funzionalità anti-malware consente di implementare un livello di filtro ottimale per proteggere in tempo reale la rete dalla maggioranza delle minacce che attualmente coinvolgono la sicurezza informatica di un’azienda.

Sempre grazie alla DPI, tale tipologia di firewall riesce a garantire ottimi risultati sull’application layer, soprattutto per quanto riguarda la precisione negli insight generati. Si tratta di un particolare tutt’altro che irrilevante non soltanto in sede preventiva, ma estremamente prezioso per ricostruire le eventuali dinamiche di un’incidente di sicurezza informatico, agevolando spesso in maniera decisiva le fasi di investigazione.

Alcuni sistemi firewall possono risultare sovradimensionati, anche in termini di costi, se si tratta di proteggere utenze domestiche o piccole aziende, ma risultano assolutamente determinanti quando l’obiettivo coincide con una grande organizzazione o un’azienda chiamata a gestire un’infrastruttura critica, ad esempio nell’ambito della difesa, dell’energia, della finanza o della sanità pubblica.

Quali sono i suoi vantaggi del firewall hardware

Premesso che ogni tipologia di firewall presenta per ovvi motivi una serie di pro e contro, in generale maggiore è il livello di sicurezza in funzione della complessità della rete da proteggere, maggiori sono gli oneri in termini di costi e competenze che ne derivano.

In termini generali, l’impiego di un firewall hardware si esprime attraverso i seguenti aspetti:

  • Visibilità dei dispositivi connessi al server: un’unica interfaccia di controllo consente di avere un livello di visibilità elevato su tutti i device, in quanto le loro connessioni avvengono direttamente sulle porte fisiche del firewall hardware;
  • Gestione e manutenzione dei dispositivi connessi alla rete: possibilità di aggiornare le impostazioni di sicurezza e i client su tutti i computer e dispositivi della rete, accelerando in maniera drastica le operazioni che il reparto IT è chiamato a gestire per mantenere l’intera infrastruttura secondo le condizioni di standardizzazione previste;
  • Sicurezza per design: il firewall hardware gode di un proprio sistema operativo, separato da quello degli altri dispositivi, il che lo rende più facile da proteggere rispetto ai firewall software installati su un hardware non dedicato. Se ad esempio installassimo un firewall su un server o sulle singole macchine, queste potrebbero essere vittime di attacchi o malfunzionamenti che rischierebbero di compromettere il corretto funzionamento del firewall stesso. Nel caso di un firewall hardware è possibile isolare e distinguere in maniera più efficiente le funzioni dei componenti della rete;
  • Protezione 24/7: i firewall hardware rimangono del tutto indipendenti rispetto alle macchine connesse alla rete, per cui è possibile mantenerli sempre operativi e dedicare loro dei momenti di manutenzione che non incidono sull’operatività aziendale, se non in via del tutto marginale (es. pianificazione aggiornamenti nelle ore notturne, nei weekend e nei periodi di minor carico).
Cos'è la sicurezza informatica
Cos’è la sicurezza informatica?

Quando è necessario utilizzarlo

Le considerazioni relative all’opportunità di impiegare un firewall hardware sono in buona parte legate alle specifiche esigenze che è opportuno soddisfare a livello di configurazione della rete aziendale. Non esiste pertanto una risposta valida per tutte le occasioni, ma è necessario condurre un’analisi puntuale sull’infrastruttura IT e sull’operatività delle varie linee di business, a cominciare dal modo in cui archiviano e gestiscono i loro dati.

In altri termini, spesso sarebbe sufficiente chiedersi cosa deve proteggere il firewall. Un discorso che prescinde dal fatto che si impieghi un firewall hardware, software, cloud o via dicendo, ma dovrebbe in primo luogo essere rivolto ad individuare la tipologia di firewall più idonea tra quelle precedentemente enunciate.

Una volta formulate le prime ipotesi, ritenute soddisfacenti per una condizione ideale, è importante verificare la fattibilità della sua implementazione in termini di budget e complessità tecnica.

Tra i vari aspetti che è necessario valutare quando si considera l’implementazione di un firewall hardware, potremmo ad esempio considerare:

  • Analisi ed individuazione delle funzionalità effettivamente richieste: il firewall ottimale è quello che risolve correttamente le richieste senza implementare quella tecnologia ridondante che renderebbe inutilmente più complessa la configurazione e la manutenzione di risorse inutili e oltremodo costose;
  • Capire il modo migliore per implementare il firewall hardware nell’architettura di rete: ciò potrebbe ad esempio variare nel caso in cui la funzione prevalente coincidesse con la protezione di un servizio a bassa visibilità o di un’applicazione web molto esposta;
  • Individuazione della tipologia di ispezione del traffico più indicata: tale condizione varia sensibilmente nel caso in cui sia opportuno controllare tutti i contenuti dei pacchetti di dati, oppure sia sufficiente monitorare le autorizzazioni legate agli indirizzi e alle porte coinvolte dal traffico.

È inoltre necessario considerare che le tipologie di firewall che abbiamo descritto non corrispondono ad altrettante soluzioni commerciali. Il mercato offre soluzioni molto più varie, che raramente rispondono al quadro teorico.

Se da un lato ciò consente di risolvere esigenze differenti con livelli di complessità e budget, dall’altro richiede competenze specifiche per evitare di configurare dei firewall poco rispondenti.

Il firewall è un componente essenziale per la sicurezza di una rete. Se venisse scelta una soluzione non idonea, ciò potrebbe comportare una sensazione di falsa sicurezza capace di produrre esiti semplicemente disastrosi.

Per tale ragione è opportuno che l’analisi e la scelta della configurazione di un firewall e, più in generale, di un’architettura di sicurezza di rete venga svolta da consulenti e system integrator dotati di un’esperienza molto specifica in questo ambito.

Firewall: meglio hardware o software?

Per quanto costituisca la più classica delle FAQ, le domande frequenti da parte di chi si ritrova per la prima volta ad implementare un firewall in azienda, qualsiasi risposta data a priori non sarebbe in alcun modo risolutiva, perché la complessità stessa dell’analisi da effettuare per rispondere in maniera professionale solleverebbe presto interrogativi ben più pertinenti.

Abbiamo già visto come un firewall hardware consente una più razionale allocazione delle risorse per via di unità dedicata a svolgere esclusivamente tali funzioni, con tutti i vantaggi che ne derivano. Volendo identificare alcuni vantaggi che potrebbero rendere preferibile un semplice applicativo, noteremmo come un firewall software:

  • Costa meno: almeno inizialmente, per via del fatto che non comporta il costo dell’infrastruttura hardware iniziale. Le licenze dei firewall software sono inoltre disponibile con soluzioni rental, su base mensile/annuale, il che consente di diluire e controllare facilmente l’entità dell’esborso. Nel medio e lungo termine però i costi di un firewall software potrebbero superare quelli di un firewall hardware. Considerando che i firewall sono in genere componenti molto durevoli, tale aspetto è da valutare con estrema attenzione, per capire se la priorità sia costituita da un’implementazione rapida ed economica o da esigenze di medio e lungo termine;
  • Non richiede spazi dedicati: nel caso dei piccoli business, disporre di spazi in cui configurare i rack dei firewall hardware non sempre rappresenta una soluzione agevole, per cui se le esigenze da soddisfare sono compatibili con un firewall software, questi può costituire una buona soluzione di compromesso, prevedendo la sua installazione sulle macchine già presenti;
  • Semplice da configurare: i firewall software sfruttano una rete già presente e risolvono la loro configurazione con una semplice installazione e configurazione a livello applicativo. Il firewall hardware comporta ovviamente un’installazione fisica in un data center, con tanto di cablaggi e configurazioni decisamente più articolate.

Quando le esigenze a livello di rete superano certe numeriche di dispositivi connessi e complessità di funzioni, i firewall hardware consentono di ovviare in maniera decisamente più agevole alle limitazioni intrinseche di un firewall software, a cominciare dal fatto che questi deve essere installato su ogni macchina, e di conseguenza aggiornato ogni volta che si rende disponibile un update. Un ulteriore limite è dato dal fatto che un firewall software sottrae memoria e risorse computazionali ad ogni macchina, anche per via del fatto di essere installato al di sopra del sistema operativo.

Una ulteriore alternativa, che si sta diffondendo negli ultimi periodi, è costituita dai firewall gestiti in cloud.

I managed security service provider (MSSP) sono infatti in grado di assicurare soluzioni firewall-as-a-service, gestiti interamente dallo stesso MSSP per controllare i firewall hardware presenti all’interno dell’azienda o implementare architetture ibride.

Contrariamente a ciò che ci si potrebbe attendere, tali servizi risultano ottimali per quelle PMI che avrebbero maggiori oneri nel dover gestire internamente tutta l’infrastruttura di sicurezza, non disponendo di competenze specializzate o non avendo necessità o possibilità economica nel disporre di un team dedicato a tempo pieno.

Il firewall-as-a-service ed in generale I servizi legati alla cloud security sono pertanto destinati a diffondersi sempre di più nel corso dei prossimi anni.

Firewall hardware: cos’è, come funziona e a cosa serve ultima modifica: 2022-01-04T10:48:15+00:00 da Francesco La Trofa

LEAVE A REPLY

Please enter your comment!
Please enter your name here