Che cos'è un firewall?

Storia dei firewall

I firewall esistono dalla fine degli anni '80 e sono nati come filtri di pacchetti, che erano reti impostate per esaminare i pacchetti, o byte, trasferiti tra i computer. Sebbene i firewall di filtraggio dei pacchetti siano ancora in uso oggi, i firewall hanno fatto molta strada con lo sviluppo della tecnologia nel corso dei decenni.

• Virus Gen 1
  • Generazione 1, fine anni '80, gli attacchi di virus ai PC stand-alone hanno colpito tutte le aziende e hanno spinto i prodotti antivirus.
• Gen 2 rete
  • Generazione 2, metà degli anni '90, gli attacchi da Internet colpirono tutte le aziende e portarono alla creazione del firewall.
• Applicazione Gen 3
  • Generazione 3, primi anni 2000, sfruttando le vulnerabilità nelle applicazioni che interessavano la maggior parte delle aziende e che hanno spinto i prodotti Intrusion Prevention System (IPS).
• Carico utile Gen 4
  • Generazione 4, circa. 2010, ascesa di attacchi mirati, sconosciuti, evasivi e polimorfi che hanno colpito la maggior parte delle aziende e hanno spinto i prodotti anti-bot e sandboxing.
• Gen 5 Mega
  • Generazione 5, circa. 2017, i mega-attacchi su larga scala, multi-vettore, che utilizzano strumenti di attacco avanzati e che stanno guidando le soluzioni avanzate di threat prevention.

Nel 1993, Gil Shwed, CEO di Check Point, ha presentato il primo firewall con ispezione statica, FireWall-1. In ventisette anni, un firewall è ancora la prima linea di difesa di un'organizzazione contro cyber attack. I firewall di oggi, compresi Next Generation Firewall e i firewall di rete, supportano un'ampia gamma di funzioni e capacità con caratteristiche integrate, tra cui:

• Network Threat Prevention
• applicazione e controllo basato sull'identità
• Supporto per il cloud ibrido
• Prestazioni scalabili

L'evoluzione dei firewall

Proprio come le reti che proteggono, anche i firewall hanno subito cambiamenti significativi nell'ultimo decennio. Anche i primi strumenti di firewall erano essenziali per la sicurezza della rete, poiché le loro controparti degli anni '80 sono nate come strumenti di filtraggio dei pacchetti.

Sviluppo iniziale: firewall con filtraggio dei pacchetti

La prima generazione di firewall, introdotta alla fine degli anni '80, utilizzava un semplice filtraggio dei pacchetti. Questi strumenti esaminavano i pacchetti di dati a livello di rete (OSI Layer 3) e filtravano i pacchetti a cui una rete rispondeva attraverso parametri come indirizzi IP, porte e protocolli. Tuttavia, la mancanza di consapevolezza contestuale e la focalizzazione eccessiva sui singoli pacchetti rendevano vulnerabili ad attacchi complessi come la frammentazione IP.

L'emergere dell'ispezione di stato

Gli anni '90 hanno visto l'avvento dei firewall di ispezione di stato, introdotti da Check Point. Questi firewall di seconda generazione monitoravano continuamente lo stato delle connessioni, assicurando che i pacchetti facessero parte di una sessione stabilita. Questo miglioramento ha rafforzato significativamente la sicurezza.

Firewall a livello di applicazione e proxy

I firewall di livello applicazione e i firewall proxy sono emersi più o meno nello stesso periodo. Il primo operava al livello 7, in grado di analizzare e applicare dati e regole specifiche per le applicazioni. Erano anche altamente sicuri, vantando la capacità di separare completamente le richieste di traffico dall'architettura di rete sottostante, ma i primi modelli soffrivano di potenza di calcolo limitata e scarsa latenza.

Gestione unificata delle minacce (UTM) e firewall di nuova generazione (NGFW)

Gli anni 2010 videro l'avvento dei sistemi UTM, che cercavano di combinare la reattività di un firewall con i punti dati extra provenienti da antivirus, rilevamento di intrusioni e altri sistemi di sicurezza aziendali. Gli NGFW sono stati in grado di spingere queste capacità di integrazione aggiungendo l'ispezione approfondita dei pacchetti, la protezione avanzata dalle minacce e il filtraggio a livello di applicazione.

Adattamenti moderni: Cloud e IA

Oggi i firewall si sono adattati agli ambienti cloud e alle applicazioni containerizzate, dando origine al Firewall-as-a-Service (FWaaS). Basandosi sulle basi dei dati cross-environment, l'IA e il machine learning vengono sempre più impiegati per la loro superiore rilevazione delle anomalie, analisi predittiva delle minacce e applicazione adattiva delle politiche.

Dai filtri statici ai sistemi intelligenti e sensibili al contesto, i firewall si sono continuamente evoluti per soddisfare le esigenze di un panorama di minacce in continua evoluzione. Analizziamo nel dettaglio tutte le caratteristiche che rendono i firewall odierni così importanti.

I diversi tipi di firewall

Filtraggio dei pacchetti

Il filtraggio dei pacchetti è una tecnica di sicurezza di rete utilizzata nei firewall per controllare il flusso di dati tra le reti. Valuta le intestazioni del traffico in entrata e in uscita rispetto a un insieme di regole predefinite, e poi decide se consentirle o bloccarle.

Le regole del firewall sono direttive precise che costituiscono una parte critica delle configurazioni del firewall. Definiscono le condizioni in cui il traffico è consentito o bloccato in base a parametri come gli indirizzi IP di origine e di destinazione, le porte e i protocolli di comunicazione. Negli ambienti aziendali, queste singole regole vengono annidate insieme per formare elenchi di controllo di accesso (ACL). Durante l'elaborazione del traffico, il firewall valuta ogni pacchetto rispetto alle regole ACL in ordine sequenziale. Una volta che un pacchetto corrisponde a una regola, il firewall applica l'azione corrispondente, come consentire, negare o rifiutare il traffico, senza ulteriori valutazioni delle regole successive. Questo approccio strutturato e metodico garantisce che l'accesso alla rete sia strettamente controllato e coerente.

Servizio proxy

Poiché i firewall si trovano ai margini di una rete, un firewall proxy è naturalmente adatto a fungere da singolo punto di ingresso: così facendo, è in grado di valutare la validità di ogni connessione. I firewall proxy-service separano completamente l'interno e l'esterno, terminando la connessione del client al firewall, analizzando la richiesta e stabilendo una nuova connessione con il server interno.

Ispezione di stato

L'ispezione di stato dei pacchetti analizza il contenuto di un pacchetto di dati e lo confronta con le informazioni sui pacchetti che hanno già attraversato il firewall.

L'ispezione senza stato analizza ogni pacchetto in isolamento: l'ispezione di stato, invece, raccoglie dati precedenti di dispositivi e di connessione per comprendere meglio le richieste di traffico di rete. Ciò equivale a considerare i dati di rete come un flusso continuo. Mantenendo un elenco di connessioni attive e valutando ciascuna di esse da una prospettiva più macroscopica, i firewall stateful sono in grado di assegnare il comportamento della rete a profili di utenti e dispositivi a lungo termine.

Web Application Firewall

Un Web Application Firewall (WAF) avvolge una specifica applicazione ed esamina le richieste HTTP inviate ad essa. Analogamente ad altri tipi di firewall, applica quindi regole predefinite per rilevare e bloccare il traffico dannoso. I componenti che vengono esaminati includono le intestazioni, le stringhe di query e il corpo delle richieste HTTP, tutti elementi che contribuiscono a segnalare un'attività dannosa. Quando viene identificata una minaccia, il WAF blocca la richiesta sospetta e avvisa il team di sicurezza.

Firewall alimentato dall'IA

I firewall sono essenzialmente potenti motori analitici: sono perfettamente adatti all'implementazione di algoritmi di machine learning. Poiché gli algoritmi ML sono in grado di assorbire e analizzare quantità di dati molto maggiori molto più rapidamente rispetto ai loro corrispettivi manuali, i firewall basati su IA sono stati costantemente in grado di superare i loro predecessori nell'affrontare minacce nuove (zero-day).

Una delle implementazioni più comuni dell'IA all'interno dei firewall, ad esempio, è l'analisi comportamentale degli utenti e degli endpoint (UEBA). Questo assorbe i dati storici di intere reti e stabilisce come ogni utente e endpoint interagisce tipicamente con essi, quali risorse vengono utilizzate, quando vi si accede, ecc.

Firewall ad alta disponibilità e cluster di condivisione del carico iperscalabili e resilienti

Un firewall ad alta disponibilità (HA) è progettato per mantenere la protezione di rete anche in caso di guasto del firewall. Ciò è possibile grazie alla ridondanza, sotto forma di clustering HA: più peer firewall lavorano insieme per fornire una protezione ininterrotta. In caso di guasto del dispositivo, il sistema passa automaticamente a un dispositivo peer, mantenendo così una sicurezza di rete impeccabile. Oltre ai tradizionali design di "alta disponibilità", molte organizzazioni ora necessitano di firewall resilienti iperscalabili e di livello di telecomunicazioni per garantire un'operatività del 99,99999%+ e fino a 1000 Gbps di produttività di rete con una piena prevenzione delle minacce.  Un design intelligente di firewall a condivisione del carico distribuisce il traffico di rete attraverso un cluster firewall. Può anche riallocare automaticamente risorse firewall aggiuntive alle applicazioni critiche in caso di picchi di traffico imprevisti o altri trigger predefiniti, e quindi riassegnare tali risorse del firewall al gruppo originale una volta che le condizioni sono tornate alla normalità. Ciò ottimizza le prestazioni ed evita che un singolo dispositivo venga sovraccaricato, garantendo al contempo le massime prestazioni di rete in tutte le condizioni.

Firewall virtuale

I firewall erano tradizionalmente esclusivi dell'hardware, poiché necessitavano dell'elevata potenza della CPU per scorrere manualmente ogni regola nell'ACL. Ora, però, quella potenza di calcolo può essere essenzialmente esternalizzata grazie alla virtualizzazione del firewall. I sistemi virtuali supportano la segmentazione interna: dove uno strumento può essere utilizzato per configurare e monitorare più firewall segmentati, permettendo ai firewall secondari di avere le proprie politiche e configurazioni di sicurezza.

I firewall virtuali offrono numerosi vantaggi: gli ambienti multi-tenancy, ad esempio, traggono vantaggio da questa segmentazione. Permettono inoltre alle organizzazioni più grandi di implementare la segmentazione della rete in modo più snello, attraverso uno strumento centrale. A parte questo, i firewall virtuali possono offrire tutte le stesse funzionalità dei loro corrispettivi basati su hardware.

Firewall cloud

È comune vedere persone confondere i firewall virtualizzati con i firewall cloud, ma c'è una distinzione: mentre virtuale descrive l'architettura sottostante, i firewall cloud si riferiscono agli asset aziendali che proteggono. I firewall cloud sono quelli utilizzati per proteggere le reti cloud pubbliche e private delle organizzazioni.

firewall come servizio (FWaaS)

Poiché la virtualizzazione del cloud ora consente di acquistare e utilizzare la potenza di elaborazione in remoto, i firewall virtuali sono ora possibili. Questo apre nuove possibilità per l'architettura del firewall, una delle quali è il Firewall as a Service (FWaaS).

FWaaS, come qualsiasi SaaS, è una soluzione firewall preassemblata che viene distribuita tramite il cloud. Invece di instradare e analizzare tutto il traffico enterprise tramite una server room interna, l'offerta unica di FWaaS è spesso rappresentata dai suoi Punti di Presenza globali, che permettono un'implementazione più locale (e senza latenza) del firewall.

firewallgestito

Infine, va bene avere un firewall, ma come ne parleremo presto, questo strumento necessita di continui perfezionamenti e aggiustamenti. Alcune aziende si accorgono che le esigenze umane possono rapidamente sopraffare un team di sicurezza informatica snello. Molti scelgono quindi di instradare il traffico tramite un firewall gestito, che viene costantemente monitorato per individuare minacce, anomalie o modelli di traffico insoliti. Questi firewall esternalizzati possono anche trarre vantaggio dagli strumenti avanzati e dalla threat intelligence del fornitore.

L'importanza dei protocolli del firewall

Anche i firewall di base sono in grado di analizzare l'origine, la destinazione e i protocolli a cui ogni pacchetto è conforme. Ma la visibilità da sola non previene gli attacchi; le regole del firewall governano come lo strumento firewall reagisce a ciascun pacchetto, permettendogli infine di accedere alla rete aziendale o negando l'accesso.

Queste regole sono fondamentali per mantenere la sicurezza della rete controllando l'accesso da e verso i sistemi, garantendo che solo il traffico autorizzato passi mentre i dati dannosi o indesiderati sono bloccati. Per risparmiare tempo, la maggior parte dei firewall standard offre set di regole preconfigurati. Dopotutto, molte minacce sono universali, indipendentemente dalle specifiche del tuo settore o dei tuoi dipendenti, soprattutto quando i criminali informatici sono in grado di scansionare qualsiasi rete pubblica alla ricerca di vulnerabilità comuni. Fornendo regole preconfigurate, i firewall moderni permettono una riduzione immediata delle potenziali minacce che potrebbero colpire la tua azienda; un vantaggio per l'implementazione, che permette agli amministratori di ridurre molte configurazioni manuali che un nuovo strumento richiede di solito. Questo riduce gli errori e garantisce il rispetto delle migliori pratiche del settore.

Perché abbiamo bisogno di firewall?

I firewall, in particolare i firewall di nuova generazione, si concentrano sul blocco di malware e attacchi a livello di applicazione. Grazie a un Intrusion Prevention System (IPS) integrato, questi firewall di nuova generazione sono in grado di reagire in modo rapido e fluido per rilevare e contrastare gli attacchi sull'intera rete. I firewall possono agire su policy precedentemente impostate per proteggere meglio la tua rete e possono effettuare valutazioni rapide per rilevare attività invasive o sospette, come il malware, e bloccarle. Utilizzando un firewall per la tua infrastruttura di sicurezza, stai configurando la tua rete con policy specifiche per consentire o bloccare il traffico in entrata e in uscita.

Best practice di sicurezza del firewall

I firewall non sono una soluzione da configurare e dimenticare. Gli attacchi che la tua organizzazione affronta sono in costante evoluzione e i firewall che si basano esclusivamente su aggiornamenti manuali delle regole richiedono altrettanta attenzione e tempo.

Configura le regole secondo i principi di privilegio minimo

Fondamentale per una gestione efficace delle regole del firewall è il principio del privilegio minimo. Dal punto di vista funzionale, significa che è consentito solo il traffico che serve a una specifica funzione aziendale necessaria. Rispettando questo principio, è praticamente garantito che le future modifiche alle regole ridurranno al minimo i rischi, manterranno un maggiore controllo sul traffico di rete e limiteranno le comunicazioni non necessarie tra reti. Applicare questo principio alle regole richiede che dettagli come indirizzi IP di sorgente e destinazione (o intervalli) e porte di destinazione siano sempre definiti. Ecco perché regole eccessivamente permissive come "Any/Any" devono essere sostituite da una strategia esplicita di rifiuto/permesso per tutte le attività in entrata e in uscita.

Mantenere la documentazione aggiornata

Poiché le regole preconfigurate vengono modificate e aggiornate, è essenziale disporre di una documentazione chiara e completa. Chiunque faccia parte del team di sicurezza di rete dovrebbe facilmente comprendere lo scopo di ogni regola dalla documentazione. Come minimo, dovresti registrare dettagli come lo scopo della regola, i servizi che riguarda, gli utenti e i dispositivi coinvolti, la data di implementazione, la data di scadenza della regola se temporanea, e il nome dell'analista che l'ha creata.

Proteggi il firewall stesso

Il firewall non è solo un elemento critico della sicurezza aziendale: è l'elemento più pubblico di qualsiasi infrastruttura di rete, il che rende i firewall non gestiti una minaccia. Per proteggere il firewall, sono obbligatorie alcune best practice chiave: i protocolli non sicuri come telnet e SNMP dovrebbero essere disabilitati completamente; le configurazioni e i database di log dovrebbero essere sottoposti a backup; e una regola stealth dovrebbe essere implementata per proteggere il firewall dalle scansioni di rete. Infine, controlla regolarmente gli aggiornamenti disponibili per la soluzione firewall.

Raggruppa le regole e le reti in categorie corrispondenti

Segmentare le reti aziendali in livelli di sicurezza corrispondenti è un'altra pratica fondamentale per la sicurezza della rete, e le regole del firewall sono perfettamente adatte a far rispettare questi segmenti. Per semplificare la gestione, organizza le regole in categorie o sezioni in base alla loro funzione o alle caratteristiche correlate. Questo approccio ti permette di strutturare le regole nel miglior ordine possibile e garantisce una migliore supervisione.

I firewall basati sull'IA sono sempre più in grado di automatizzare le regole e la documentazione su cui si basano: questi enormi progressi di efficienza sono la ragione principale per cui i NGFW stanno sostituendo i loro modelli più vecchi.

Ispezione del livello di rete vs. Ispezione del livello di applicazione

I filtri di rete o di pacchetto ispezionano i pacchetti ad un livello relativamente basso dello stack di protocollo TCP/IP, non permettendo ai pacchetti di passare attraverso il firewall a meno che non corrispondano al set di regole stabilito, dove la sorgente e la destinazione del set di regole si basano sugli indirizzi e le porte del protocollo Internet (IP). I firewall che eseguono l'ispezione del livello di rete hanno prestazioni migliori rispetto a dispositivi simili che eseguono l'ispezione del livello di applicazione. L'aspetto negativo è che le applicazioni indesiderate o i malware possono passare attraverso le porte consentite, ad es. traffico Internet in uscita attraverso i protocolli web HTTP e HTTPS, rispettivamente porta 80 e 443.

L'importanza di NAT e VPN

I firewall svolgono anche funzioni di base a livello di rete, come la Network Address Translation (NAT) e la Virtual Private Network (VPN). rete Address Translation nasconde o traduce gli indirizzi IP interni del client o del server che possono trovarsi in un "intervallo di indirizzi privati", come definito nella RFC 1918, in un indirizzo IP pubblico. Nascondere gli indirizzi dei dispositivi protetti preserva il numero limitato di indirizzi IPv4 e costituisce una difesa contro la ricognizione della rete, poiché l'indirizzo IP è nascosto da Internet.

Allo stesso modo, una rete privata virtuale (VPN) estende una rete privata attraverso una rete pubblica all'interno di un tunnel spesso crittografato, dove i contenuti dei pacchetti sono protetti durante l'attraversamento di Internet. Questo consente agli utenti di inviare e ricevere dati in modo sicuro attraverso reti condivise o pubbliche.

Next Generation Firewall e oltre

Next Generation Firewall ispezionano i pacchetti a livello di applicazione dello stack TCP/IP e sono in grado di identificare applicazioni come Skype o Facebook e di applicare i criteri di sicurezza in base al tipo di applicazione.

Oggi, i dispositivi UTM (Unified Threat Management) e Next Generation Firewall includono anche tecnologie threat prevention come Intrusion Prevention System (IPS) o Antivirus per rilevare e prevenire malware e minacce. Questi dispositivi possono anche includere tecnologie di sandboxing per rilevare le minacce nei file.

Man mano che il panorama della sicurezza informatica continua a evolversi e gli attacchi diventano sempre più sofisticati, i firewall di nuova generazione continueranno a essere una componente essenziale della soluzione di sicurezza di qualsiasi organizzazione, sia che ci si trovi nel data center, nella rete o nel cloud.

Proteggi la tua rete utilizzando il Quantum NGFW di Check Point, il firewall basato sull'IA più efficace, caratterizzato dalla prevenzione delle minacce più apprezzata, scalabilità senza soluzione di continuità e gestione unificata delle politiche.

Combinando una prevenzione delle minacce all'avanguardia, prestazioni senza pari e un'efficienza snella, le capacità avanzate di Check Point Quantum includono ispezione intelligente del traffico, integrazione fluida con i servizi cloud e un'automazione approfondita degli incidenti. Scopri come Quantum vanta una scalabilità senza sforzo e una gestione centralizzata delle policy con una demo.

Per saperne di più sulle funzionalità essenziali che il firewall di nuova generazione deve avere, scarica oggi stesso la Guida all'acquisto del firewall di nuova generazione (NGFW).