I firewall di nuova generazione, i cosiddetti firewall “application-aware”, hanno giustamente suscitato l’interesse dei tecnici di rete e degli analisti, ma parliamo di una tecnologia ancora in evoluzione. Per questo, molte imprese, almeno per ora, si stanno ancora tenendo gli usuali firewall di porta e di protocollo.
Solitamente si assiste a un utilizzo sperimentale misto: i firewall application-aware sul perimetro della rete (per impedire attacchi esterni) e quelli “classici” all’interno (per gestire il traffico che vi è espressamente indirizzato), in un ottica di firewall stratificati all’interno di una strategia di sicurezza che fissa anche le responsabilità (un team gestisce i firewall esterni, un altro quelli interni).
La gestire stratificata con diversi dispositivi e differenti responsabilità si traduce spesso in un maggior livello di sicurezza. Infatti, se il cracker riuscisse a capire il primo livello di sicurezza (dispositivi, logica di definzione delle password), si troverebbe subito dopo tutt’altri dispositivi e tutt’altro modo di gestire le password e le policy.
I firewall stateful sono un crocevia per l’evoluzione della rete
Negli ultimi 15 anni, i firewall stateful sono stati la prima linea di difesa per la sicurezza della rete. Sono i poliziotti del traffico, che effettuano lo sniffing di porte e protocolli e fanno in modo di consentire o meno il traffico in base alle centinaia o migliaia di regole che i tecnici di rete hanno programmato al loro interno.
Ma la mutevole natura di Internet si è lasciata alle spalle questa vecchia architettura firewall. I siti Web sono diventati piattaforme per l’esecuzione di innumerevoli applicazioni, come chat, video e trasferimento file. Ma anche enterprise, come Salesforce.com.
Queste applicazioni stanno andando tutte sul Web, così i firewall tradizionali le considerano come pacchetti HTTP o HTTPS su porta 80 o porta 443. I cracker indirizzano i loro attacchi a tali porte perché il traffico che le attraversa è in gran parte invisibile al firewall e si presenta come legittimo traffico Web.
Questo punto debole nei firewall tradizionali ha portato a limitare il perimetro di rete attraverso molteplici appliance e software di sicurezza. Gli ingegneri di rete implementano un’ampia gamma di prodotti per colmare i gap, dal rilevamento delle intrusioni ai sistemi di prevenzione (IDS/IPS) e appliance antivirus fino al filtraggio dei contenuti e del Web.
I firewall di nuova generazione incrementano lo stack
Per consentire o negare l’accesso sulla base del tipo della soluzione applicativa, i firewall application-aware operano a livello di applicazione del modello OSI, piuttosto che a quello di porte e protocolli.
La comprensione che questi firewall hanno delle applicazioni varia da produttore a produttore. Alcuni riconoscono il traffico proveniente da Facebook, mentre altri guardano più in profondità e sono in grado di distinguere tra video Facebook, chat di Facebook o semplici aggiornamenti di stato su Facebook.
Quasi tutti i vendor di firewall (con l’eccezione di Cisco) hanno qualche modello di firewall di nuova generazione. Palo Alto Networks ha creato firewall application-aware fin dall’inizio. I concorrenti, come Sonicwall e Fortinet, hanno incorporato la tecnologia IPS/IDS esistente nelle loro piattaforme firewall per dotarle della capacità di gestire le applicazioni.
Mike Rothman, analista e presidente della società di ricerca sulla sicurezza Securosis, afferma che l’approccio IPS/IDS è solo la prima fase di un’evoluzione verso i firewall application-aware. Alla fine, i fornitori che adottano questo approccio dovranno fare un “trapianto di cervelllo” ai loro firewall, rivedendo in toto il modo in cui funzionano i dispositivi.
In parte, questo è dovuto al fatto che i prodotti IDS/IPS sono guidati da “signature” per le applicazioni e i siti Web malevoli mentre l’approccio dei firewall di prossima generazione consente di individuare in particolare i siti e le applicazioni ammesse e nega tutto il resto. Il primo caso è più articolato e richiede un uso più intensivo della CPU, mentre nel secondo bisogna “solo” identificare le applicazioni e le funzioni permesse.
Ma l’uso intensivo del processore nei firewall application-aware, nell’opinione di Andreas Antonopoulos, vice presidente senior e socio fondatore di Nemertes Research, costringerà molte imprese a dover implementare i firewall secondo un approccio multilivello: «Se l’obiettivo principale è segmentare le VLAN interne attraverso un firewall di capacità 10 Gigabit molto veloce, è bene ricordare che i circuiti MPLS e la gestione di server virtualizzati non sono tra i compiti dei firewall di prossima generazione. Non credo che questa sia la migliore piattaforma per collegare centinaia di extranet diverse e le connessioni esterne in un data center. Probabilmente non è indicata per gestire DMZ segmentate internamente e reti di server altamente complesse. Ma altrettanto probabilmente è una buona piattaforma per affrontare le minacce che provengono dal Web e dal traffico degli utenti, cosa che i firewall tradizionali non fanno molto bene».
I trend nell’architettura dei firewall di prossima generazione
Poiché molte aziende stanno vendendo firewall application-aware, che sono essenzialmente firewall stateful con funzionalità IDS/IPS, i tecnici di rete devono procedere con cautela per essere sicuri che il firewall che stanno scegliendo funzionerà in modo corretto nel loro ambiente.
«Nel corso del tempo, tutti i fornitori faranno evolvere la loro architettura -afferma Rothman-. La realtà è che un sacco di prodotti per la sicurezza hanno bisogno di un trapianto di cervello: ma quando verrà fatto?».