Un “Firewall” è uno dei più popolari dispositivi di sicurezza per computer e reti che i professionisti usano per proteggere le loro risorse e reti IT aziendali.

Proprio come una porta resistente al fuoco negli edifici che protegge le stanze da un possibile incendio e ferma la diffusione delle fiamme all’interno dell’edificio, il firewall di sicurezza ha una funzione simile per impedire che pacchetti e traffico malevoli entrino e danneggino le risorse informatiche protette.

In questo sito ho scritto centinaia di articoli sui firewall Cisco ASA, che rappresentano un classico esempio di firewall basati su rete hardware.

Tuttavia, ci sono anche altri tipi di firewall come quelli basati su host che discuteremo e confronteremo in questo post.

Cos’è un firewall basato sulla rete

Come suggerisce il nome, questo tipo di firewall è utilizzato principalmente per proteggere intere reti di computer da attacchi e anche per controllare il traffico di rete in modo che solo i pacchetti consentiti siano in grado di raggiungere i vostri server e risorse IT.

L’immagine sopra mostra diversi firewall Cisco ASA basati su rete. Come si può vedere, questi sono dispositivi hardware contenenti diverse porte Ethernet per la connessione a una rete (che vanno dalle SMB alle grandi reti aziendali).

Queste porte sono di solito porte da 1 Gbps con connettori elettrici RJ45, ma è possibile trovare anche porte ottiche (ad esempio porte a 1 Gbps, 10 Gbps di velocità ecc) per la connessione a cavi in fibra ottica per distanze più lunghe e maggiore larghezza di banda.

Le porte fisiche di un firewall di rete sono collegate agli switch di rete al fine di implementare il firewall all’interno della rete LAN.

Nella sua forma più semplice, è possibile collegare diverse porte fisiche del firewall a diversi switch di rete al fine di fornire un accesso controllato tra diversi segmenti di rete.

Il caso d’uso più popolare di un firewall basato sulla rete è quando viene utilizzato come dispositivo di confine Internet per proteggere la LAN di un’azienda da Internet, come mostrato nel diagramma sottostante:

La rete sopra è uno dei casi d’uso più popolari dei firewall di rete utilizzati nelle reti aziendali. Come potete vedere, una porta del firewall è connessa alla rete Switch-1 che ospita tutti i dispositivi client LAN della rete aziendale.

Un’altra porta fisica del firewall è connessa ad un’altra rete Switch-2 che si connette ad un Web Server.

Quindi, nello scenario sopra siamo riusciti a separare il Web Server accessibile pubblicamente dal resto della rete aziendale tramite l’appliance di sicurezza. Questa è una buona pratica di sicurezza perché se il Web Server viene compromesso da un hacker, non ci sarà alcun accesso alla rete sicura interna protetta.

Il firewall deve essere configurato per consentire il traffico da Internet verso il Web Server su una specifica porta TCP (porta 443 per HTTP o porta 80 per HTTP).

Tutto l’altro traffico sarà bloccato dal firewall (cioè nessun traffico diretto da Internet verso il Web Server).Inoltre, il firewall permetterà anche il traffico in uscita dalla rete aziendale verso Internet per fornire l’accesso a Internet agli host interni della LAN.

Come descritto nel caso d’uso precedente, il firewall di rete è responsabile di permettere o negare i pacchetti di rete tra le reti (utilizzando le regole di accesso OSI Layer 3 e Layer 4). Questa è la funzionalità di base del firewall.

Le più recenti generazioni di firewall (chiamate “Next Generation Firewalls”) ispezionano anche il traffico a livello di applicazione per identificare il traffico dannoso e gli attacchi a livello di applicazione (es. virus, tentativi di intrusione, attacchi SQL injection etc etc).

Cos’è un firewall basato su host

Come il nome implica, un firewall basato su host è un’applicazione software installata su computer o server host per proteggerli dagli attacchi.

Anche se la rete rappresentata sopra non è raccomandata in scenari reali, illustra come viene usato un firewall basato su host.

Nota che l’opzione migliore sarebbe quella di combinare sia un firewall di rete che un firewall host per una migliore protezione usando un approccio stratificato.

Il firewall basato su host è installato direttamente come software sull’host e controlla il traffico in entrata e in uscita da e verso l’host specifico.

Un esempio classico di firewall basato sull’host è il firewall di Windows che viene fornito di default in tutti i sistemi operativi Windows.

Perché questo tipo di protezione è legato all’host stesso, significa che fornisce protezione all’host indipendentemente dalla rete a cui è collegato.

Per esempio, se sei collegato alla tua rete aziendale, sei già protetto dal firewall di rete. Ora, se prendete il vostro portatile con un firewall basato su host e lo collegate a una rete WiFi esterna, il firewall fornisce ancora protezione al computer.

Inoltre, alcuni firewall basati su host forniscono anche protezione contro gli attacchi delle applicazioni. Poiché questo tipo di protezione è installato sull’host vero e proprio, ha visibilità sulle applicazioni e sui processi in esecuzione sull’host, quindi il firewall può proteggere contro il malware che cerca di infettare il sistema.

Un punto debole di tale firewall è che può essere disattivato da un aggressore che è riuscito a ottenere l’accesso a livello di amministratore all’host.

Se l’host è compromesso da un hacker con privilegi di amministratore, il firewall basato su host può essere disattivato, qualcosa che è impossibile fare sui firewall basati su rete.

Confronto tra i firewall basati sulla rete e quelli basati sull’host

Caratteristiche	Firewall di rete	Firewall host
Posizione	All’interno della rete (sia al al confine/perimetro o all’interno della LAN)	Su ogni host
Hardware/Software	Dispositivo hardware	Applicazione software
Performance	Prestazioni elevate (banda, connessioni simultanee ecc)	Prestazioni inferiori (dato che è basato sul software)
Livello di protezione	Protezione della rete più protezione a livello di applicazione (se si usa Next Generation Firewall)	Protezione della rete più protezione dell’applicazione (su alcuni modelli)
Uso-casi	Per lo più in reti aziendali	Sia in personal computer in reti domestiche e anche in reti aziendali come protezione addizionale su host.
Segmentazione della rete	Grande segmentazione e controllo a livello VLAN / Layer 3 ma non può limitare il traffico tra gli host nella stessa VLAN	Grande micro-segmentazione a livello di host anche se gli host appartengono alla stessa VLAN.
Mobilità	Una volta che il firewall è implementato nella rete, è molto difficile da rimuovere o cambiare.	Alta mobilità poiché è legato ad ogni host.
Gestione	Può essere gestito da un server centrale di gestione del firewall o direttamente sull’apparecchio stesso	Difficile da gestire quando esistono centinaia di host nella rete.
Facile da bypassare	I firewall di rete non possono essere bypassati dagli aggressori.	Più facile da bypassare. Se l’attaccante compromette l’host tramite un exploit, il firewall può essere disattivato dall’hacker.