Il Firewall (muro tagliafuoco) rappresenta la linea di difesa indispensabile per la protezione delle reti, agendo come una sentinella posta tra la rete locale (LAN) e le reti esterne pubbliche (WAN/Internet). Il suo compito principale è filtrare i pacchetti in transito, sia in entrata che in uscita, applicando regole prestabilite chiamate policy di sicurezza.

Questa barriera può essere implementata in diverse forme: come software installato su un computer dedicato, come funzionalità logica integrata in un router, o tramite apparati hardware specializzati. Mentre i Firewall Personali proteggono i singoli endpoint filtrando i pacchetti del solo computer su cui sono installati, i firewall di rete concentrano la sicurezza sul nodo di confine, bloccando tentativi di intrusione e uscite non autorizzate secondo le direttive aziendali.

Classificazione Tecnologica dei Firewall

L'efficacia e la velocità di un firewall dipendono dal livello dello stack TCP/IP in cui opera. Si distinguono principalmente tre categorie:

• Packet Filter Firewall (Livello Network/Transport): È la tipologia più veloce, poiché analizza solo pochi byte dell'header (indirizzi IP, porte TCP/UDP, protocollo) senza esaminare il payload applicativo. Tuttavia, non è in grado di rilevare minacce annidate nei dati (come virus nelle email) se il protocollo di trasporto è consentito.
• Application Level Firewall (Livello Application): Intercetta le trasmissioni a livello applicativo (es. HTTP, SMTP), analizzando il contenuto dei dati per bloccare virus o worm. Sebbene offra il massimo livello di protezione, come nel caso dei Proxy, richiede una maggiore capacità computazionale, riducendo la velocità complessiva della rete.
• Stateful Packet Inspection (SPI) Firewall (Livello Transport): Evoluzione del packet filter, analizza il contenuto e lo stato della connessione TCP. Compila tabelle di stato per decidere il filtraggio non solo in base alle regole statiche, ma anche confrontando il pacchetto con quelli scansionati in precedenza nella stessa sessione.

Difesa contro attacchi IP e Mitigazione

Il firewall è fondamentale per contrastare attacchi che sfruttano le debolezze intrinseche del protocollo IP. Attraverso una corretta configurazione, è possibile mitigare minacce specifiche:

• IP Spoofing: L'attaccante simula un IP interno per bypassare i controlli; il firewall risolve scartando i pacchetti con sorgente interna che giungono dall'interfaccia esterna.
• Source Routing: Utilizzato per imporre un percorso specifico ed evitare i filtri; la contromisura consiste nello scartare i pacchetti con l'opzione "source route" attiva.
• Tiny Fragments: Frammentazione estrema del pacchetto TCP per nascondere l'header; il firewall interviene scartando i pacchetti TCP (troppo frammentati) con un fragment-offset pari a 1.

ACL (Access Control List)

La configurazione operativa del firewall e dei router si basa sulle ACL, elenchi sequenziali di istruzioni per gestire il traffico. Queste liste permettono di limitare gli accessi e ottimizzare le performance decidendo quale traffico consentire (es. permettere SMTP e bloccare Telnet).

L'elaborazione delle ACL segue un ordine rigoroso: ogni pacchetto viene confrontato con le regole in sequenza e, non appena viene trovata una corrispondenza, la valutazione si interrompe. Se nessuna condizione viene soddisfatta, il pacchetto viene scartato per la presenza di una istruzione finale implicita definita deny any. Per questo motivo, le regole più restrittive devono essere sempre posizionate all'inizio dell'elenco.

Si distinguono due tipologie principali di ACL:

1. Standard ACL: Filtrano il traffico basandosi esclusivamente sull'indirizzo IP sorgente. Per massima efficacia, vanno posizionate il più vicino possibile alla destinazione.
2. Extended ACL: Offrono un controllo granulare, permettendo limitazioni basate su IP sorgente e destinazione, tipo di protocollo e numero della porta.