Cos'è il Layer 7?

Il livello 7 si riferisce al livello Applicazione nel modello di rete OSI. È il livello superiore di questo modello di rete e si occupa dei protocolli standard con cui gli utenti interagiscono direttamente, come il traffico HTTP per la navigazione web.

Richiedi una Demo Benchmark di sicurezza Miercom 2024 NGFW

Cos'è il Layer 7?

Il Modello OSI

Il modello Open Systems Interconnection (OSI) è un modello concettuale che descrive come il traffico di rete è strutturato. I sette livelli del modello OSI includono:

  1. Strato fisico: Sposta dati su un mezzo fisico tramite elettroni, luce, ecc.
  2. Livello di collegamento dati: Trasferisce dati tra i nodi, gestendo il supporto fisico e correzione degli errori. Ethernet è un protocollo di livello 2.
  3. Rete Layer: Gestisce l'indirizzamento e il routing rete per spostare i dati tra rete. IP è un protocollo di Livello 3.
  4. Strato di trasporto: Utilizza protocolli come TCP e UDP per trasmettere dati tra sistemi e può offrire correzione degli errori.
  5. Livello di sessione: Gestisce le connessioni e le sessioni tra due computer.
  6. Livello di Presentazione: Esegue crittografia, compressione e formattazione dei dati per garantire che i dati vengano correttamente tradotti tra rete e Applicazione.
  7. Livello applicazione: Consente al software Applicazione per l'utente finale di inviare e ricevere dati tramite il rete.

Importanza dello Layer 7

Il livello 7 è il livello più alto del modello OSI e si occupa di Applicazioni che interagiscono direttamente con l'utente.

I livelli di applicazione inferiori del modello OSI si occupano di garantire che i dati arrivino dove devono arrivare e siano formattati in modo appropriato. Il livello 7 è dove operano le Applicazioni che interagiscono con l'utente. Ad esempio, durante la navigazione sul web, un utente utilizzerà il protocollo HTTPS per comunicare con il server web remoto.

HTTPS è un protocollo di livello 7 il cui traffico è racchiuso all'interno di protocolli di livello inferiore, come ad esempio:

  • TCP
  • QUIC
  • IP
  • Ethernet

Questi protocolli sono responsabili di garantire che i dati arrivino da una particolare Applicazione sul computer client a una particolare Applicazione sul server, mentre HTTPS trasporta i dati effettivi che fanno funzionare la sessione di navigazione web.

Bilanciamento del carico al Livello 7

Un'organizzazione può scegliere di implementare il bilanciamento del carico al Livello 7 del modello OSI. Questo significa che il traffico legittimo di una singola Applicazione è distribuito su più server diversi, assicurando che non vengano sovraccarichi.

Pertanto, il bilanciamento del carico migliora le prestazioni complessive di Application. Dal punto di vista dell'utente, tutti i server dietro un bilanciatore di carico Layer 7 sono indistinguibili poiché avrebbero lo stesso indirizzo IP pubblico e numeri di porta. Tuttavia, il bilanciatore di carico può instradare il traffico verso i server in base all'utilizzo.

Inoltre, il bilanciatore di carico può utilizzare cookies o altre informazioni incluse nelle richieste per garantire che il traffico proveniente dalla stessa sessione arrivi allo stesso server, abilitando la cache e ottimizzando il servizio.

Il bilanciamento del carico può avvenire anche al Livello 4, il Livello di Trasporto del modello OSI. In questo caso, diversi server upstream utilizzerebberoporte TCP/UDP differenti, permettendo a un bilanciatore di carico di inviare rapidamente traffico dalla stessa sessione allo stesso server senza ispezionarne il contenuto effettivo. Tuttavia, questo approccio offre un controllo meno granulare sulle sessioni inviate a ciascun server backend.

Protezione dagli attacchi DDoS

Il livello 7 è rilevante anche nel contesto degli attacchi DDoS (Distributed Denial of Service). Negli attacchi a livello DDoS Applicazione, una botnet controllata dall'attaccante tenta di rendere un servizio target indisponibile per utenti e clienti. Gli attacchi DDoS possono verificarsi a più livelli diversi del modello OSI. Un approccio è cercare di sovraccaricare un sistema con l'enorme volume di richieste.

Questi attacchi operano ai livelli 3 (rete) e 4 (Trasporto) del modello OSI. Ad esempio, un attacco SYN flood esaurisce il numero di sessioni TCP che un server mantiene aperte contemporaneamente.

SYN Flood

Un SYN Flood è un tipo di attacco DDoS che sovraccarica un server con richieste di connessione, rendendo il server inaccessibile ai clienti legittimi.

  • Normalmente, un client invia un messaggio SYN (Synchronize) a un server per richiedere una connessione a un server.
  • Il server conferma questa richiesta inviando un messaggio SYN-ACK al client.
  • Successivamente, il client risponde normalmente con un ACK (acknowledgment) e la connessione viene stabilita.

Tuttavia, nel caso degli attacchi SYN Flood, l'attaccante DDoS invia una raffica di richieste SYN al server ma volutamente non risponde con un ACK finale a nessuno dei messaggi SYN-ACK inviati dal server.  Di conseguenza, il server è bloccato ad aspettare un grande volume di risposte ACK che non arrivano mai dal client.

Questo processo sovraccarica le limitate risorse di calcolo dei server, che sono impegnati a gestire un enorme volume di connessioni semi-aperte. Ecco perché gli attacchi SYN Flood sono anche noti come 'attacchi semi-aperti'.

Attacco DDoS di livello 7

Gli attacchi DDoS di livello 7 sono progettati per sfruttare vulnerabilità e colli di bottiglia in particolare Applicazione o servizi. Ad esempio, gli attacchi a flood HTTP cercano di inviare a un server web più richieste HTTP di quante ne possa gestire. Questo potrebbe essere sostanzialmente inferiore al numero di sessioni TCP simultanee che può gestire, rendendo questo attacco più efficiente.

Diversi tipi di attacchi DDoS devono essere gestiti a diversi livelli OSI. Sebbene molti Applicazione Firewall possano gestire attacchi di Livello 3/4, proteggere da attacchi di Livello 7 richiede un Firewall di Livello 7 che ispezioni e comprenda i dati del livello Applicazione.

Le soluzioni Check Point e il Modello OSI

Le aziende possono subire attacchi informatici che operano a più livelli diversi del modello OSI. Ad esempio, gli attacchi DDOS possono essere eseguiti ai livelli 3, 4 o 7. Ognuno di questi tipi di attacchi opera in modo diverso, e una soluzione di sicurezza di rete che fornisce protezione solo ai Livelli 3 e 4 sarà cieca agli attacchi che avvengono al Livello 7.

Check Point next-generation firewalls (NGFWs) provide protection at multiple layers of the OSI model, including the ability to inspect and understand network packet payloads to offer application-layer protection. Learn more about the Layer 7 protection that Check Point Force NGFWs provides by signing up for a free demo.