Firewall ACCESSO NEGATO
Durante l’implementazione di una rete locale dotata di un accesso a Internet sussiste una fase a cui oggi nessuno può sottrarsi: la predisposizione di un firewall. Infatti la sicurezza non è più un’opzione, ma una filosofia che deve permeare tutte le fasi del lavoro ai sistemi.
Esistono inoltre leggi che impongono, almeno in ambito aziendale, un livello minimo di attenzione all’integrità delle informazioni. La mancata applicazione di queste norme può comportare conseguenze civili e penali serie. Il firewall deve essere frapposto tra la rete interna e il router per l’accesso esterno, creando così un passaggio obbligato per i dati in ingresso e in uscita.
Il dispositivo va configurato con una serie di regole impostate dall’amministratore di rete; in base a queste i dati possono attraversare il dispositivo o essere bloccati. In questo modo è possibile intercettare i pacchetti potenzialmente dannosi prima che possano nuocere ai pc interni. La funzione di controllo e di filtro è l’aspetto caratteristico di un firewall, ma non è il suo unico compito. Il termine è infatti più che altro un’etichetta commerciale e non una definizione tecnica rigorosa. Ogni produttore “personalizza” il concetto, implementando nelle proprie soluzioni tecnologiche proprietarie o punti di vista specifici.
DUE STRADE POSSIBILI
Uno degli aspetti più controversi dei firewall riguarda la scelta tra quelli software o hardware. In ambito software si ha un pc standard dotato di due schede di rete, un sistema operativo commerciale (per esempio Windows XP o una distribuzione Linux) e il software specifico per le funzioni di firewall. Quest’ultimo si lega al sistema operativo “agganciandosi” alle librerie di sistema che eseguono la gestione della rete.
Così facendo il firewall software è in grado di intercettare i pacchetti prima che possano intaccare gli applicativi e i file dell’utente. Gli amanti delle soluzioni hardware obiettano circa la complessità di questa struttura. Si deve infatti avere un computer a tutti gli effetti, possibilmente di buona qualità per motivi di affidabilità, ma anche per supportare il sistema operativo standard che deve essere installato.
Quest’ultimo elemento è però ritenuto “scomodo” in ambito di sicurezza: i sistemi operativi sono complessi, hanno decine (se non centinaia) di servizi di sistema in esecuzione e sono spesso affetti da bachi di sicurezza. Tutti appigli che un hacker potrebbe usare per tentare un attacco. Si arriva quindi a un paradosso: si vuole implementare un meccanismo di protezione in cima a un elemento software, il sistema operativo, che è tipicamente privo di garanzie di sicurezza. C’è anche il problema della configurazione. Molto spesso i sistemi operativi risultano insicuri perché l’utente non ha le competenze e la cultura tecnica necessarie per impostare il sistema in maniera adeguata. Una volta che il sistema operativo è attivo non bisogna poi pensare che il problema sia concluso. Bisogna tenere costantemente monitorato il sistema e applicare tutte le patch di sicurezza che vengono rilasciate nel tempo. Sussiste anche un problema economico nel caso si scelga la strada del firewall software: si deve acquistare un pc, richiedere un’estensione di garanzia per rimanere coperti in caso di guasti, comprare la licenza del sistema operativo (con costi non indifferenti nel caso di un sistema server) e infine acquistare il firewall. A tutto questo vanno sommati il tempo e i costi per l’installazione, la configurazione e la manutenzione nel tempo di un meccanismo di questa portata.
La strada hardware ha il vantaggio della semplicità. Si tratta di un’unica “scatola” che integra tutto il necessario per il funzionamento di un sistema firewall. Ci sono un computer a tutti gli effetti, in architettura dedicata, un kernel, le funzioni di sistema basilari e il software per il firewall. Questo sistema non contiene fronzoli, ridondanze o componenti superflui che possono essere fonte di insicurezza. Nei fatti si hanno pochissimi elementi software in esecuzione all’interno della “scatola”. Gli eventuali cracker avranno quindi vita molto dura per scovare qualcosa a cui aggrapparsi per violare il sistema (ammesso che vi siano punti esposti).
I firewall hardware sono spesso venduti con licenze per numero di utenti. Nei prodotti che hanno licenza per dici utenti, per esempio, si ha uno sbarramento software: l’undicesimo client che si collega viene tagliato fuori e non ha la facoltà di accedere alla Rete. Il controllo in questi casi avviene creando una tabella degli indirizzi MAC associati alle schede di rete. I primi dieci valori collezionati possono navigare mentre i successivi no. Resettando l’unità si può azzerare la tabella e ricominciare, ma sempre con il vincolo numerico. Per risolvere il problema bisogna comprare una licenza aggiuntiva e aumentare il numero originario. Questo vincolo è puramente di licenza. Non ci sono cioè problemi software o limiti dell’hardware. È solo un metodo concepito dal produttore per aumentare i propri guadagni. Questa è la critica che viene spesso mossa da coloro che preferiscono le soluzioni software. Non bisogna però dimenticare che anche molti prodotti software, soprattutto quelli di livello professionale, hanno uno stesso tipo di vincolo