E’ una perdita di tempo utilizzare un firewall? No, ecco perchè!

blog_main_firewall

Tutti noi conosciamo il termine firewall, ma solo poche persone sanno a cosa serve. Andando su internet e leggendo qua e là troverai diverse opinioni sul reale funzionamento di un firewall, infatti, molti concetti tecnici si riferiscono a questo termine.

L’idea base è che il firewall sia un “muro” che ci protegge dagli attacchi esterni. Potrebbe sembrare semplice, ma molte persone ci chiedono: dove dovrebbe essere posto? E cosa sono, in dettaglio, questi “attacchi”?

Prima di tutto vediamo dove potrebbe essere posizionato un firewall.

Firewall hardware

Per grandi network o server, un firewall hardware è solitamente un dispositivo esterno. Per gli utenti privati o piccole aziende, è solitamente integrato nel ruter/modem. Quando viene utilizzato un firewall hardeware tutto il traffico di rete viene filtrato dal ruter prima che arrivi ai singoli computer.

firewall_illustration

Il traffico viene analizzato dal firewall hardware e viene verificato ciò che può passare o meno. Alcuni firewall seguono le istruzioni date dall’utente.

Per esempio: fanno si che nessuno, tramite internet, possa accedere al computer, magari consentendo solo le connessioni in uscita.

Altri firewall utilizzano regole più avanzate utilizzando filtri basati su protocolli. Per esempio, lasciando connettere gli utenti alla rete, ma soltanto attraverso la porta 80 (porta HTTP utilizzata dai server), ed incanalando tutto il traffico web in un firewall prima che arrivi ai singoli computer. Alcuni firewall sono molto sofisticati ed ispezionano ogni pacchetto di dati in profondità. Una regola potrebbe essere: consentire il traffico nella porta 80, a meno che la sequenza di codici non possa essere utilizzata per manomettere il server bypassando il firewall.

pro-iconIl vantaggio dell’utilizzo di un firewall hardware è principalmente quello di essere separato dai computer che protegge. Tutto il traffico deve essere controllato attraverso un firewall hardware od altrimenti non verrà inoltrato ai computer. In più, non c’è nessun’area extra per attacchi. I dati devono essere controllati, altrimenti non vengono consegnati. Un mattoncino quadrato non può entrare in un buco rotondo.

contra-iconLo svantaggio di avere un firewall hardware è quello che essendoci una separazione fisica, il firewall non sa cosa succede realmente nei computer. Il firewall hardware controlla solo i dati del traffico generato da questi computer, ma non conosce le applicazioni che generano questi dati.

Ad esempio, se un utente chiede ad un’applicazione legittima di accedere ad internet in un modo non consentito dalla configurazione del firewall, l’hardware ne bloccherà l’accesso. Avere regole troppo restrittive è uno dei problemi principali di un firewall hardware, solitamente l’utente non è molto contento di ciò.

Router Network Address Translation (NAT)

Uno speciale tipo di firewall hardware è il Network Address Translation, o semplicemente NAT, router. La maggior parte dei ruter DSL in uso al giorno d’oggi utilizzano il NAT e tecnicamente non sono dei firewall, ma hanno gli stessi effetti.

La tecnologia dietro il NAT è semplice. Molte famiglie hanno più computer connessi attraverso lo stesso ruter, ma l’account internet ha solo un indirizzo IP pubblico. Questo indirizzo IP è come il tuo telefono di casa e può essere raggiunto da chiunque nel mondo. Con il NAT il tuo indirizzo IP viene assegnato al router. I dati in entrata devono passare attraverso il router prima di arrivare al computer.

Un router NAT consente di convertire i dati scambiati da un indirizzo IP pubblico ad un indirizzo IP speciale, esclusivo per la tua rete. Questi IP esclusivi iniziano solitamente con 10.* o 192.168.* e possono essere raggiunti direttamente dall’esterno. Questi IP sono utilizzati più volte da milioni di reti locali nel mondo.

Per esempio, considera la richiesta da parte di un server pubblico. Prima di tutto il router NAT sostituirà l’IP del computer locale con un IP pubblico. Al tempo stesso, il NAT prenderà le informazioni originali, ovvero la richiesta dall’IP locale, al fine di sapere dove inoltrare la risposta successivamente. Quando il server invierà la risposta, la invierà all’IP pubblico, a questo punto il NAT controllerà questi dati e li invierà al computer richiedente identificandolo tramite l’IP locale.

pro-iconI router NAT ci danno un gran vantaggio: i computer che utilizzano il NAT possono raggiungere qualsiasi punto esterno, ma niente all’esterno può connettersi in una NAT a meno che non sia configurata dalla macchina stessa. In questo modo, il NAT funziona effettivamente come un “firewall” anche se tecnicamente non lo è.

blog_content_breaker_firewall

La tecnologia dei firewall

Un firewall (software) funziona su un computer locale, ma fa tecnicamente ciò che fa un firewall hardware. Il firewall ispeziona le informazioni che vengono connesse con la rete e decide se bloccare o consentire alcune connessioni basandosi su una serie di regole.

software firewall illustration

pro-iconUna delle cose positive di avere un firewall (software) è che solitamente non sono costosi quanto firewall hardware. Un’altro vantaggio di un firewall (software) è quello di essere in grado di analizzare il traffico e di collegarlo con il programma che ne ha generato la richiesta – ed è esattamente quello che un firewall hardware non può fare. Un Firewall (software) può analizzare il comportamento del traffico del programma, ciò significa che le decisioni possono essere prese in maniera molto più precisa rispetto un firewall hardware.

Per esempio: se un pacchetto di dati viene originato genuinamente da un software fidato, non c’è necessità ogni volta di chiedere all’utente di consentirlo, anche se viola alcune regole pre-configurate. Un firewall software riconosce la connessione dall’origine e ne garantisce l’accesso.

Un buon firewall (software) non mostra nessun messaggio di avviso, a meno che non ci sia un reale tentativo di attacco o di accesso non consentito al sistema. L’utilizzo di troppi avvisi non è una buona cosa in quanto potrebbe desensibilizzare l’utente nel prendere le decisioni.

contra-iconTroppi avvisi potrebbero far si che l’utente non si preoccupi durante un reale tentativo di attacco. Chi non ha mai avuto a che fare con un prodotto simile? Se un prodotto mostra troppi avvisi, semplicemente, cliccherai sempre su “Consenti”, indifferentemente da quello che dice l’avviso. Questi tipi di firewall in realtà sono uno spreco delle risorse del sistema perchè anche quando rilevano attacchi reali, l’utente senza saperlo consentirà l’accesso della minaccia.

Un buon firewall software non blocca le applicazioni fidate. Questa è una cosa che da molto fastidio a chi utilizza un firewall hardware (magari ne avrai avuto un esempio sul lavoro). Garantire l’accesso ad un programma fidato tramite un firewall hardware è un procedimento abbastanza laborioso. Prima di tutto devi aprire l’interfaccia admin, secondariamente devi cercare la configurazione adatta ed il programma in questione, successivamente inserirai la nuova regola.

pro-icon I firewall software sono migliori perchè essendo installati sul computer, sono sempre accessibili localmente, sono anche intelligenti a sufficienza da consentire i programmi fidati evitandoti di creare nuove regole ogni volta.

Quando hai bisogno di un firewall?

La realtà è che se sei connesso ad internet tramite una DSL od un router che utilizza il NAT, ti consigliamo di risparmiare i soldi di un firewall e di spenderli in compagnia dei tuoi amici. Un buon antivirus con un ottimo tasso percentuale di rilevazione ed un modulo per il controllo del comportamento è sufficiente per la tua protezione. Se invece sei connesso ad internet tramite reti di terze parti (come anche wifi pubblici), un firewall software è sicuramente un investimento.

coffee-iconPensa alle LAN pubbliche, un wifi di un bar o ristorante, o semplicemente quello dell’hotel della vacanza. Una volta che ti sei connesso, qualsiasi altro computer nella rete può tentar di connettersi al tuo computer. E perchè lo dovrebbero fare? Al fine di cercare una falla per rubare informazioni finanziarie o per rubar dati privati. Un firewall ti nasconde dagli altri computer della rete e riduce la superficie da questi tipi di attacchi.

Equivoci frequenti sui firewall

Equivoco n°1: i firewall rilevano i malware

L’obiettivo principale di avere un firewall è quello di chiudere tutte quelle porte che possono venir utilizzate da persone esterne. I firewall non sono creati per rilevare i malware che sono già nel tuo computer e che comunicano con gli sconosciuti all’esterno.

castle-iconPerchè no? In breve: una volta che un malware è attivo sul tuo computer, è troppo tardi. Non c’è motivo di bloccare una connessione in uscita di un malware, perchè probabilmente il malware ha già manomesso il firewall e le impostazioni di sistema. Questo non perchè il firewall usato non sia buono, ma semplicemente perchè non è in grado di bloccare i malware. Bloccare i malware è il lavoro di un antivirus. Un firewall ti “nasconde” dall’esterno, bloccando determinate richieste in certi canali o porte.

Equivoco n°2: i firewall sono sempre HIPS (sistemi di prevenzione delle intrusioni host-based)

Non molto tempo fa, tutti i firewall facevano ciò che l’utente si aspettava: filtravano le connessioni. Ad oggi, quella è rimasta la definizione di “firewall”, tuttavia la tecnologia è giunta alla morte, non c’è più spazio all’innovazione e quasi tutte le società offrono la stessa qualità. I produttori hanno, in qualche modo, aggiunto tante impostazioni ai firewall, come ad esempio il controllo dei cambiamenti del sistema e la rilevazione di codice sospetto. Tutti questi moduli aggiuntivi sono collegati al termine HIPS.

Il problema principale con queste tecnologie è che le loro effettive capacità di controllo e rilevazione sono abbastanza stupide. Tendono ad avvisare l’utente per ogni possibile attacco, ma la realtà è che il 99,9% di questi avvisi non sono inerenti ad attacchi reali. Come mostrato prima, questi avvisi non sono solo fastidiosi, ma anche pericolosi, perchè l’utente inizierà a cliccare su “consenti” ogni volta, con il pericolo di consentire qualche attacco reale.

geek-iconGli HIPS sono consigliati per i soli esperti che possono capire il reale significato di ogni avviso e possono trarre beneficio da questo livello di protezione extra. Questo non significa che l’HIPS sia irrilevante per la maggior parte degli utenti. Infatti, la tecnologia di un HIPS è stata integrata nel nostro controllo del comportamento, un componente essenziale per un anti-malware moderno.

Grazie alla tecnologia usata dal controllo del comportamento, i falsi positivi degli antivirus sono molto rari al giorno d’oggi. Il controllo del comportamento tuttavia non è un HIPS e non può essere neanche confuso con il termine di “firewall”.

Ti auguriamo una buona giornata, protetta da un firewall!