Caratteristiche e funzionamento di uno degli strumenti fondamentali della cybersicurezza
Se utilizzi un sistema operativo Windows o macOS, il tuo computer è protetto da un firewall. Ne avrai sentito parlare spesso e può darsi che in alcuni casi tu abbia anche dovuto modificarne le impostazioni o disattivarlo per poter utilizzare qualche programma particolare, ma cos’è esattamente un firewall e come funziona? E soprattutto, come puoi utilizzarlo per proteggere il tuo sistema informatico?
Cos’è un firewall
Secondo la definizione di Cisco, una delle imprese leader del settore, un firewall è “un dispositivo per la sicurezza della rete che permette di monitorare il traffico in entrata e in uscita utilizzando una serie predefinita di regole di sicurezza per consentire o bloccare gli eventi”. Per dispositivo si intende un elemento hardware o un’applicazione software.
In inglese, la parola firewall significa tagliafuoco, ovvero una parete costruita all’interno di un edificio per limitare la propagazione di eventuali incendi. I firewall informatici svolgono una funzione simile: controllano il traffico di dati in entrambe le direzioni per impedire l’entrata o l’uscita di connessioni pericolose per il sistema.
Come funziona un firewall
Dal punto di vista del funzionamento, un firewall è una specie di filtro che controlla il traffico di dati e blocca le trasmissioni pericolose o indesiderate in base a una serie di regole specifiche. La maggior parte dei firewall dispone di norme standard a cui l’utente finale può aggiungere altre personalizzate, in base alle proprie necessità. Come vedremo nella prossima sezione, esistono vari tipi di firewall, ognuno dei quali analizza determinate caratteristiche delle trasmissioni di dati.
Il firewall si interpone tra la rete esterna, che comprende Internet, e la rete interna dell’azienda, di casa o semplicemente il computer dell’utente finale. Da un punto di vista teorico, la rete interna è considerata conosciuta, sicura, attendibile e protetta, mentre quella esterna è la presunta fonte di potenziali minacce, in quanto nel complesso è sconosciuta, insicura e non attendibile.
La maggior parte dei firewall utilizza uno di questi due criteri generali di applicazione delle regole:
- Default-deny: per impostazione predefinita viene permesso solo ciò che viene autorizzato esplicitamente, mentre il resto viene vietato.
- Default-allow: per impostazione predefinita viene bloccato solo ciò che viene vietato esplicitamente, mentre il resto viene permesso.
Il primo criterio è quello più utilizzato perché garantisce maggiore sicurezza e una maggiore precisione nella definizione delle regole. È per questo motivo che, al primo avvio di un’applicazione connessa a Internet su Windows, il sistema operativo ti mostra un messaggio per chiederti di autorizzarne o bloccarne la connessione. Tuttavia, il secondo criterio consente una configurazione più semplice e rapida delle regole. Su Windows può essere impostato manualmente, ma non è consigliabile.
Tipi di firewall
In base al tipo di controllo e analisi delle trasmissioni di dati, possiamo distinguere i seguenti tipi di firewall:
Firewall con filtro di pacchetti
In rete i dati vengono trasmessi mediante alcuni protocolli, tra cui il più diffuso è il TCP/IP. Ogni insieme di dati viene suddiviso in “pacchetti”: il mittente contatta il destinatario e quando questo accetta la connessione, gli invia i pacchetti. Ogni pacchetto dispone di un’etichetta (header) con diverse informazioni che consentono al destinatario di ricostruire i dati originali inviati, tra cui gli indirizzi IP, la porta di destinazione e il protocollo di trasmissione.
I firewall di tipo packet filter analizzano i dati contenuti in queste etichette, li confrontano con le regole di filtro impostate e decidono se bloccare o lasciar passare la connessione. Questa tipologia di firewall è affidabile ma limitata, in quanto esposta a diverse minacce moderne come lo spoofing dell’IP, ovvero la sostituzione di un IP che verrebbe bloccato con uno legittimo. Per risolvere queste limitazioni, sono stati creati firewall che controllano anche lo stato della connessione, come vedremo di seguito.
Firewall con analisi dello stato della connessione
Questi firewall, conosciuti in inglese come stateful inspection, non analizzano solo i pacchetti di dati, ma anche lo stato della connessione, le porte utilizzate sui computer e i protocolli di trasmissione. Oggigiorno i firewall stateful inspection sono considerati uno standard del settore e la maggior parte delle applicazioni di firewall ne implementa le funzionalità.
Firewall a livello di applicazioni
Esistono firewall dedicati a una singola applicazione, che funzionano come intermediari nella comunicazione di dati tra questa e la rete esterna o altre applicazioni. Questi firewall svolgono un’analisi molto più approfondita e possono bloccare le connessioni in tempo reale. Si tratta di soluzioni di livello aziendale, utili quando il grado di sicurezza richiesto è molto alto e si hanno a disposizione dispositivi potenti, in grado di non risentire del rallentamento causato dall’attività del firewall.
Firewall di nuova generazione
Conosciuto come next-generation firewall, questo tipo di software firewall dispone di funzionalità di prevenzione di intrusioni e monitoraggio di applicazioni. Si tratta di software per aziende o persone con necessità particolari, che richiedono la supervisione da parte di personale esperto. Possono essere paragonati a un sistema antifurto di un edificio.
Sistemi di gestione unificata delle minacce (UTM)
Si tratta di veri e propri sistemi integrali di cybersicurezza che, tra le altre cose, contengono anche un firewall. Differiscono dai firewall di nuova generazione perché ne esistono versioni per utenti finali di profilo medio, quindi più semplici da utilizzare e più economiche. Un buon esempio di UTM è Panda Dome, che include un firewall personalizzabile e periodicamente aggiornato, servizi VPN, protezione antivirus e funzionalità di controllo e gestione delle applicazioni.
Come utilizzare un firewall
Ora che hai compreso esattamente cos’è e come funziona un firewall, dovresti essere in grado di utilizzarlo in modo più consapevole, ma soprattutto dovresti averne capito l’utilità. Molti utenti considerano il firewall di Windows una scocciatura e decidono di disattivarlo completamente piuttosto che configurarlo.
In questo articolo non ci proponiamo di insegnarti a modificare le impostazioni del firewall di Windows o altri sistemi operativi, ma vogliamo ricordarti che il firewall è un elemento importantissimo degli strumenti di cybersicurezza di cui disponi. Data la quantità e complessità delle nuove minacce informatiche, come abbiamo visto in questo articolo sul mese della cybersicurezza, ogni aggiunta al nostro sistema di protezione è utile, se non indispensabile.
Per impostazione predefinita, il firewall di Windows ti chiederà di autorizzare le connessioni tra la rete esterna e un’applicazione quando la utilizzi per la prima volta. Semplicemente continuando a ricevere queste notifiche e prestando attenzione a cosa autorizzi, il tuo computer sarà più sicuro.
Buona navigazione e buona protezione!