By Ramlin
Firewall: concetti base (Parte I)
Per Firewall
si intende un sistema o un gruppo di sistemi il cui scopo e' quello di
filtrare il traffico tra due reti differenti, cioe' implementare una politica
di controllo degli accessi. I Firewall sono ormai molto diffusi nelle grandi
corporation e nei vari centri di ricerca, soprattutto quelli di tipo governativo...dovunque
ci sia qualcosa di riservato state sicuri di trovare un firewall..:-)).
E' pratica molto comune utilizzare i Firewall come "vetrine" in cui
mettere
materiale che debba essere reso pubblico (basti pensare alle varie patch
e upgrade resi disponibili dalle varie corporation): il lato "positivo"
di questa pratica e' data dal fatto che tutti i vari ospiti del sistema
rimangono fuori dalla rete interna vera e propria, visto che il Firewall
crea una sorta di compartimento a tenuta stagna con il mondo esterno. Un
Firewall puo' essere configurato diversamente a seconda delle esigenze
di sicurezza a cui deve fare capo: alcuni Firewall lasciano passare in
entrambi i sensi solo messaggi di posta elettronica, altri, piu' sofisticati
bloccano il traffico proveniente dall'esterno ma non pongono nessuna limitazione
a quello proveniente dall'interno. Questi simpatici gingilli sono utili
anche nel caso in cui il sistema e' attaccato via modem; in questo caso
il Firewall puo' ricoprire il ruolo di investigatore, nel senso che se
opportunatamete configuato puo' implementare delle funzioni di logging
(e fin qui nulla di speciale) e soprattutto delle funzioni di tracciamento
della chiamata, cosa abbastanza improbabile nel caso di un Firewall made
in Italy ma MOLTO piu' probabile nel caso di uno made in USA, in quanto
il sistema telefonico USA permette agevolmente di sapere il numero del
chiamante (tramite la funzione CALLER ID); in Italia questo e' possibile
solo nel caso di linee ISDN e sistemi GSM (anche se non in
maniera
uniforme, ma qui svicoliamo in un altro argomento..). Un altro aspetto
da tenere in considerazione riguarda il livello di sicurezza globale della
rete "target": e' inutile acquistare un Firewall costosissimo e poi ignorare
tutte le altre possibili back-doors: un Firewall dovrebbe rispecchiare
il livello globale della rete. Questa banale regola nella maggior parte
dei casi fortunatamente non viene presa in considerazione...:-9 Se poi
esistono particolari esigenze di riservatezza e sicurezza la prima regola
da seguire dovrebbe essere questa: NON collegarsi in Rete!!:) Sembra banale
ma e' l'unico modo per garantire una sicurezza prossima al 100%..se poi
uno accede alla rete fisicamente...beh..chiamate un fabbro e fate mettere
un paio di serrature in piu'..8-)) Fondamentalmente esistono due tipi
di Firewall:
* Network
Level
* Application
Level
Le differenze tra i due sono molto meno marcate di quanto si potrebbe pensare, ed anche in termini di giudizio non e' possibile affermare in senso assoluto "quel tipo e' meglio di quell'altro"..tutto dipende dalle necessita' di sicurezza della rete.
Un Firewall di tipo Network Level prende le sue decisioni basandosi sull'indirizzo sorgente, quello di destinazione e la porta di un singolo pacchetto IP, per il resto si comporta come un router normale. Generalmente i Firewall di questa categoria risultano molto veloci trasparenti all'utente.
I Firewall
di tipo Application Level invece, sono macchine in cui viene fatto girare
un Proxy server, la cui caratteristica piu' evidente e' data dal fatto
di non permettere il passaggio di dati **direttamente** tra le due reti,
ma al contrario premette a questa operazione una serie di sofisticati controlli
di tracciamento e di logging dei pacchetti. Inizialmente questi Firewall
erano abbastanza pensantucci dal lato client, ma ora la situazione sta
cambiando.
La caratteristica
piu' importante di questa tipologia di Firewall e' la possibilita' di avere
dei dettagliati report su tutto il traffico transitato attraverso esso.
Concludo questa prima parte con un'osservazione di carattere pratico apparentemente banale; un Firewall puo' essere un ottimo aiuto ai Sysadmin per garantire l'integrita' degli accessi alla propria rete, ma non bisogna dimenticarsi una cosa: "lui" mette il naso e controlla tutto quello che gli passa attraverso..ma SOLO quello..nel caso in cui per qualche fortuito motivo esista un'altra via di accesso, il suo compito decade immediatamente, quindi prima di provare a fare fesso un Firewall conviene cercare in maniera quanto piu' approfondita possibile un'altra via di accesso.