Il crescente aumento della banda larga per la connettività in internet, le connessioni sempre attive (always-on), l'assegnazione di un indirizzo IP statico, hanno fatto nascere l'esigenza di garantire la sicurezza dei propri sistemi informatici. Sicurezza intesa come il processo attraverso il quale si tende a garantire l'integrità e la disponibilità dei sistemi e delle reti informatiche.
Si parla di sicurezza informatica quando un sistema è protetto dall'accesso di persone non autorizzate, quando i dati in esse custoditi restano confidenziali e integri e quando programmi eseguibili possono essere lanciati in esecuzione solo da persone autorizzate.
Senza protezione, sia le informazioni personali che i dati custoditi nei sistemi sono a rischio d'attacco e di intrusione esterno. Il firewall è uno dei principali sistemi per la protezione della rete; consente di scoprire, prevenire attacchi e intrusioni dal mondo esterno e di evitare l'accesso a particolari siti web.
Esso può essere dotato di NAT (network address translation), di funzionalità per VPN (virtual private network) e funzionalità per il filtraggio del traffico, non rientrante tra quello considerato sicuro per la rete.
I firewall, oggi, sono di tipo software. A volte viene installato in hardware dedicato, in cui l'utente può determinare le politiche di filtraggio. La sicurezza è raggiunta dal software o da alcuni moduli del sistema operativo che si occupano di esaminare i pacchetti e porre in esere una programmazione e analisi del traffico entrante (ad es. si potrebbero eseguire script personalizzabili che segnalino all'utente le intrusioni, come l'invio di e-mail o SMS). I firewall gestiscono le informazioni attraverso due o più porte fisiche, una collegata al router e l'altra collegata alla rete interna. Se il firewall è un PC, le due porte fisiche sono rappresentate da due schede di rete. In questo modo si forma una divisione fisica delle reti. L'unico modo che ha un pacchetto di dati di attraversare il firewall è quello di essere accettato dal firewall stesso che lo prende in consegna e ne decide le sorti. I firewall possono avere anche altre porte, per creare delle zone demilitarizzate, dette DMZ, utili, sopratutto, per i server. La configurazione DMZ sostanzialmente serve per scindere la rete LAN dai servizi quali Web server, FTP server, Mail server. Essendo i servizi Web e Mail i più attaccati e vulnerabili, con una soluzione DMZ si va a confinare i danni causati soli ai servizi citati suddetti, limitando il più possibile gli eventuali danni che potrebbe subire la rete LAN.
Una delle più recenti innovazioni nella tecnologia dei firewall è l'applicazione del DPI (Deep Packet Inspection). Il DPI può essere vista come un'integrazione delle capacità di rilevamento delle intrusioni (IDS) e la prevenzione delle intrusioni (IPS) con la tecnologia tradizionale del firewall.
Uno dei benefici primari dell'impiego di un firewall tradizionale con i IDS è che il fallimento di uno dei componenti non lascia la rete completamente sprotetta, ma anzi si puo' monitorare il traffico non solo passante attraverso il firewall ma anche quello circolante nella LAN.
L' IDS? controlla il traffico che passa attraverso il firewall (secondo le impostazioni del firewall) e ispeziona i pacchetti alla ricerca di attività illecite.
Con i firewall DPI, l'IDS viene inglobata nel firewall; realizzando così un protezione in linea e snellendo l'intera rete interna. Inizialmente ogni pacchetto passante dal firewall doveva essere autorizzato. Si pensi a iptables, firewall di LINUX. In iptables utilizzando ipfwadm o ipchains, si specificava tutto il traffico passante, non tenendo traccia delle varie sessioni. L'ispezione stateful (di stato) ha portato innovazione nel campo della protezione, inventata dalla Check Point Software Technologies verso la metà degli anni 90, fornisce l'analisi dei pacchetti a livello network, così come ad altri livelli (come il livello transport nel modello OSI o livelli superiori) per valutare il pacchetto nella sua interezza. In particolare riconosce i vari protocolli utilizzati in ogni livello (transport, session, e network) e combina le informazioni così ottenute.
Nella realtà gli applicativi richiedono che il firewall sappia analizzare in profondità i pacchetti analizzati. Ad es. gli applicativi basati su XML e Simple Object Access Protocol (SOAP) richiedono che il firewall controlli il contenuto all'interno dei pacchetti in contemporanea alla trasmissione. Inoltre, si richiede che le applicazioni che possono cambiare le loro porte di a comunicazione o quelle che creano un tunnel tra più porte (come 80/TCP) devono essere controllate per fornire il massimo livello di sicurezza all'interno della rete. Per soddisfare queste nuove richieste la tecnologia dei firewall stateful deve evolversi.
DEEP PACKET INSPECTION
DPI e' un termine usato per descrivere le capacità di un firewall o di un sistema di rilevamento delle intrusioni (IDS) di guardare all'interno dei dati delle applicazioni di un pacchetto o flusso di traffico e prendere decisioni circa il suo destino.
La tecnica su cui si base il lavoro del DPI è una combinazione basata sull'analisi delle firme, delle statistiche e delle anomalie riscontrate. Analisi già rilevate dal sistema di rilevamento delle intrusioni (IDS).
Per identificare e analizzare il traffico alle velocità richieste i firewall dovranno incorporare al loro interno ASIC (Application Specific Integrated Circuit) o NPU (Network Processors Unit), che forniscono una veloce discriminazione del contenuto all'interno dei pacchetti e allo stesso tempo permettono la classificazione dei dati.
I firewall dotati di DPI devono non solo verificare lo stato della connessione di rete sottostante ma anche lo stato di connessione dell'applicazione che utilizza quel canale di comunicazione.
Per esempio considerate una connessione SMTP tra un client di posta e un server.
Il client apre la connessione TCP a tre vie. Il firewall permette la connessione perché tra le sue regole l'accesso alla porta 25 TCP sul mail server e' permessa. Nella figura
la connessione è stata inserita nella firewall state table.
Per molti firewall stateful stabilire la connessione e controllarla, fino a quando è terminata, è sufficiente, non analizzano i pacchetti nel loro interno, si limitano ad una analisi superficiale dei protocolli. Con un firewall con il supporto DPI si può monitorare il protocollo SMTP e controllarlo per ogni attacco.
Il client SMTP che supporti le estensioni al servizio SMTP avvia una sessione SMTP inviando il comando HELO secondo la procedura definita dal protocollo RFC 821. Il client può quindi emettere una varietà di comandi utilizzando il comando SMTP MAIL FROM e RCPT TO per accettare parametri e valori addizionali.
Tra i comandi messi a disposizione dal protocollo SMTP ce ne sono alcuni che è consigliabile disabilitare tra cui il VRFY, che permette la verifica di indirizzi email sul server. Se il client prova ad emettere un comando VRFY. Il firewall che controlla la comunicazione tra il client e il mail server può far scattare un allarme o rispondere al comando VRFY togliendogli il permesso. Il client può anche provare a sfruttare l'overflow del token dell'indirizzo sendmail per accedere in modalità testuale al server. Il firewall, dotato di DPI, può identificare il tentativo di passaggio e negare la connessione dal client.
Perché il DPI abbia successo il firewall deve garantire elevate capacità di rilevamento e prevenzione dell'intrusione.
Perché la tecnologia DPI sia utile, il firewall deve essere capace di individuare e prevenire molte intrusioni, deve includere un controllo antivirus in linea ad alto livello e in tempo reale al trasferimento; deve essere in grado di analizzare e se necessario filtrare il traffico XML (Extensive Markup Language) e i servizi di messaggeria istantanea AIM, YAHOO e MSN IM; deve, inoltre, eseguire controlli sulle sessioni Secure Socket Layer (SSL) in tempo reale al trasferimento. Questo ovviamente richiederà la capacità di decrittare una sessione SSL e quindi ristabilirla una volta che i pacchetti siano stati ispezionati. Questa esigenza si è imposta a seguito degli attacchi data-driven come Code Red, NIMDA, SQL SLAMMER worm.
La sola tecnologia IDS attuale mentre è capace di rilevare questi attacchi non è in grado di prevenirli, pur considerando che questi worm hanno infettato un numero significativo di sistemi in un periodo di tempo relativamente breve.
Mentre l'IDS fornisce una prima protezione all'attacco, spostando il rilevamento e la risposta nel firewall, attraverso il DPI si provvede all'immediata terminazione dell'attacco, tagliando la linea di comunicazione ad un punto di demarcazione della rete.
I FIREWALL DI PROSSIMA GENERAZIONE
La maggior parte dei prodotti firewall attuali offre un'analisi limitata dei dati delle applicazioni. Molti produttori di firewall inclusi Check Point, Cisco, Netscreen, Network Associates e Tipping Point? si stanno muovendo nella direzione di integrare le DPI nei firewall.
La tecnologia DPI garantisce una protezione più robusta e dinamica alle reti. Spostare l'ispezione dei dati nei pacchetti ai firewall di rete fornisce agli amministratori di rete una maggiore flessibilità nel difendere i loro sistemi dal traffico e dagli attacchi nocivi. Tali firewall non eliminano il bisogno degli IDS, semplicemente li inglobano in se stessi; garantendo così il ruolo incontrastato degli IDS come difensore della privacy del sistema.
[foto1]