Che cos'è un firewall hardware?
Durante l’implementazione di una rete locale dotata di un accesso a Internet sussiste una fase a cui oggi nessuno può sottrarsi: la predisposizione di un firewall.
Che cos'è Windows XP?
Breve tutorial di MC2 E-Learning su cos’è e quali ...
Che cos'è il multi-tasking ?
Breve tutorial di MC2 E-Learning sul ...
Come personalizzare il desktop di windows
Breve tutorial di MC2 E-Learning su cos’è il ...
Che cos'è il Desktop del PC ?
Breve tutorial di MC2 E-Learning sul Desktop di ...
cosa-sono-le-licenze-freeware-shareware-trial
Breve tutorial di MC2 E-Learning sulle licenze ...
Come è fatto il PC ?
Lo scopo principale di un computer consiste ...
Bit e Byte cosa sono?
Bit e Byte vediamo di capire le fondamenta del ...
Comandi barra applicazioni-Avvio-Esegui-Cerca
Breve tutorial di MC2 E-Learning sulla Barra ...
La sicurezza non è più un’opzione, ma una filosofia che deve permeare tutte le fasi del lavoro ai sistemi.
Esistono inoltre leggi che impongono, almeno in ambito aziendale, un livello minimo di attenzione all’integrità delle informazioni.
La mancata applicazione di queste norme può comportare conseguenze civili e penali serie.
Il firewall deve essere frapposto tra la rete interna e il router per l’accesso esterno, creando così un passaggio obbligato per i dati in ingresso e in uscita.
Il dispositivo va configurato con una serie di regole impostate dall’amministratore di rete; in base a queste i dati possono attraversare il dispositivo o essere bloccati.
In questo modo è possibile intercettare i pacchetti potenzialmente dannosi prima che possano nuocere ai pc interni.
La funzione di controllo e di filtro è l’aspetto caratteristico di un firewall, ma non è il suo unico compito.
Il termine è infatti più che altro un’etichetta commerciale e non una definizione tecnica rigorosa.
Ogni produttore “personalizza” il concetto, implementando nelle proprie soluzioni tecnologiche proprietarie o punti di vista specifici.
DUE STRADE POSSIBILI
Uno degli aspetti più controversi dei firewall riguarda la scelta tra quelli software o hardware.
In ambito software si ha un pc standard dotato di due schede di rete, un sistema operativo commerciale (per esempio Windows 2000 o una distribuzione Linux) e il software specifico per le funzioni di firewall.
Quest’ultimo si lega al sistema operativo “agganciandosi” alle librerie di sistema che eseguono la gestione della rete.
Così facendo il firewall software è in grado di intercettare i pacchetti prima che possano intaccare gli applicativi e i file dell’utente.
Gli amanti delle soluzioni hardware obiettano circa la complessità di questa struttura.
Si deve infatti avere un computer a tutti gli effetti, possibilmente di buona qualità per motivi di affldabiità, ma anche per supportare il sistema operativo standard che deve essere installato.
Quest’ultimo elemento è però ritenuto “scomodo” in ambito di sicurezza: i sistemi operativi sono complessi, hanno decine (se non centinaia) di servizi di sistema in esecuzione e sono spesso affetti da bachi di sicurezza.
Tutti appigli che un hacker potrebbe usare per tentare un attacco.
Si arriva quindi a un paradosso: si vuole implementare un meccanismo di protezione in cima a un elemento software, il sistema operativo, che è tipicamente privo di garanzie di sicurezza.
C’è anche il problema della configurazione. Molto spesso i sistemi operativi risultano insicuri perché l’utente non ha le competenze e la cultura tecnica necessarie per impostare il sistema in maniera adeguata.
Una volta che il sistema operativo è attivo non bisogna poi pensare che il problema sia concluso.
Bisogna tenere costantemente monitorato il sistema e applicare tutte le patch di sicurezza che vengono rilasciate nel tempo.
Sussiste anche un problema economico nel caso si scelga la strada del firewall software: si deve acquistare un pc, richiedere una estensione di garanzia per rimanere coperti in caso di guasti, comprare la licenza del sistema operativo (con costi non indifferenti nel caso di un sistema server) e infine acquistare il firewall.
A tutto questo vanno sommati il tempo e i costi per l’installazione, la configurazione e la manutenzione nel tempo di un meccanismo di questa portata.
La strada hardware ha il vantaggio della semplicità.
Si tratta di un’unica “scatola’ che integra tutto il necessario per il funzionamento di un sistema firewall.
Ci sono un computer a tutti gli effetti, in architettura dedicata, un kernel, le funzioni di sistema basilari e il software per il firewall.
Questo sistema non contiene fronzoli, ridondanze o componenti superflui che possono essere fonte di insicurezza.
Nei fatti si hanno pochissimi elementi software in esecuzione all’interno della “scatola”.
Gli eventuali cracker avranno quindi vita molto dura per scovare qualcosa a cui aggrapparsi per violare il sistema (ammesso che vi siano punti esposti).
La linearità è certamente un punto a favore delle soluzioni hardware.
I costi invece non sono necessariamente più bassi.
In commercio si hanno apparati firewall dal costo di poche centinaia di euro fino a soluzioni estremamente avanzate, che possono costare anche decine di migliaia di euro.
Gli amanti delle soluzioni software criticano proprio questo punto.
Questi utenti accettano l’idea che si ha un costo rilevante nella soluzione softwàre, ma affermano anche che l’investimento tende ad essere più contenuto nel caso in cui si debbano mettere in pratica configurazioni molto avanzate, dedicate ad ambienti lavorativi con migliaia di utenti o che facciano uso di protocolli particolari.
E anche vero che non sono così tante le realtà in Italia con necessità così complesse; c’è piuttosto un elevato numero di piccole e medie imprese, che possono essere protette in maniera efficace con una soluzione hardware dal costo contenuto.
UNO SGUARDO ALL’INTERNO
Oggi sono disponibili sul mercato molti prodotti di buona qualità e questa ricchezza di soluzioni ha comportato un calo considerevole dei prezzi. Con un piccolo investimento è possibile comprare un firewall in grado di risolvere gran parte dei problemi di sicurezza.
Questi dispositivi hanno al loro interno un microprocessore,la RAM, uno spazio di memoria non volatile dove sono contenuti il sistema operativo e il software, e l’hardware per comunicare con il mondo esterno.
In pratica è un computer a tutti gli effetti, ma la componentistica non è quella che si trova all’interno dei pc tradizionali.
L'hardware impiegato è meno costoso e poco ingombrante. Questa è la regola, ma esistono anche soluzioni che racchiudono al loro interno un pc vero e proprio; generalmente è una scelta che viene utilizzata negli apparati dedicati a compiti più gravosi.
C’è anche un sistema operativo: un meccanismo così complesso non potrebbe funzionare se non ve ne fosse uno. I puristi dell’hardware, criticando i firewall software, puntano però il dito proprio contro tutti i problemi derivanti dalla presenza di un sistema operativo.
Alla fine si scopre che anche un firewall hardware ne contiene uno.
Qual'è allora il vantaggio? Il punto debole di una soluzione software non è il sistema operativo in quanto tale, ma il fatto che i sistemi operativi commerciali, per attirare il pubblico, indudono un alto numero di funzionalità, servizi, componenti, gadget multimediali, wizard, eccetera, inutili al fine di implementare un sistema firewall e oltre tutto dannosi.
Ogni programma in esecuzione o servizio di sistema può diventare la potenziale porta di ingresso per un cracker.
Il motivo è dato dal fatto che spesso questi servizi sono in esecuzione a insaputa dell’utente.
L'aspetto chiave di un sistema operativo integrato in un firewall è l’essenzialità.
Vengono cioè implementate solo le funzioni basilari necessarie per il funzionamento del sistema.
Il risultato è un sistema senza fronzoli, owero il contrario di quelli commerciali.
Fino a poco tempo fa i firewall hardware destinati alle piccole e medie imprese avevano sistemi operativi sviluppati appositamente per il prodotto.
Questa scelta è stata progressivamente abbandonata nel tempo.
Sviluppare da capo un prodotto software comporta rischi di sicurezza dovuti ancora una volta agli errori introdotti durante la programmazione.
Solo una fase di collaudo di media-lunga durata può far emergere tutti i problemi, ma questo significa usare gli utenti come beta tester.
Si tratta quindi di una condizione poco apprezzata in soluzioni che dovrebbero essere sicure per definizione.
I produttori si sono quindi rivolti ad una soluzione che funziona bene da anni, che risulta aperta e che è in grado di funzionare su un numero molto alto di piattaforme hardware.
Il nome di questa soluzione è Linux. La maggioranza dei firewall hardware dispone oggi di un kernel Linux standard e di pochi, indispensabili componenti di sistema.
Il tutto memorizzato in una memoria flash a bordo del dispositivo, in esecuzione nella RAM di sistema grazie al microprocessore scelto dal produttore.
ll costruttore non fa altro che prendere i codici sorgenti di Linux, adattarli alle proprie esigenze e compilarli per il microprocessore scelto.
Il sistema risulta così molto solido, in quanto già collaudato dai milioni di utenti che hanno usato Linux negli ultimi anni.
Eventuali problemi di sicurezza possono poi essere immediatamente fronteggiati grazie al lavoro dell’instancabile comunità Linux.
L’INSTALLAZIONE
L’installazione fisica di un firewall hardware è molto semplice. Oltre all’alimentazione, ci sono due connettori: uno LAN e uno WAN (acronimo di Wide Area Networlc rete geografica estesa).
La porta LAN è uno spinotto Ethernet standard a cui si collega un cavo di rete che termina nell’hub o nello switch aziendale.
Si tratta del connettore che mette in collegamento il firewall alla rete aziendale interna.
La porta WAN serve per il collegamento all’esterno; tipicamente è un’altra porta Ethernet da collegare con un cavo Ethernet al router per l’accesso a Internet.
Nelle soluzioni di alto livello si può anche avere una porta dedicata per la connessione alla rete in banda larga.
Infine, alcuni firewall integrano sulla parte posteriore un mini hub a quattro porte per mettere in rete un piccolo ambiente senza la necessità di acquistare altri dispositivi.
PROBLEMI DI LICENZA
I Firewall hardware sono spesso venduti con licenze per numero di utenti.
Nei prodotti che hanno licenza per dici utenti, per esempio,si ha uno sbarramento software: l’undicesimo client che si collega viene tagliato tuori e non ha la tacoltà di accedere alla Rete.
Il controllo in questi casi avviene creando una tabella degli indirizzi MAC associati alle schede di rete.
I primi dieci valori collezionati possono navigare mentre i successivi no.
Resettando l’unità si può azzerare la tabella e ricominciare, ma sempre con il vincolo numerico. Per risolvere il problema bisogna comprare una licenza aggiuntiva e aumentare il numero originario.
Questo vincolo è puramente di licenza. Non ci sono cioè problemi software o limiti dell’hardware.
è solo un metodo concepito dal produttore per aumentare i propri guadagni.
Questa è la critica che viene spesso mossa da coloro che preFeriscono le soluzioni software.
Non bisogna però dimenticare che anche molti prodotti software, soprattutto quelli di livello protessionale, hanno uno stesso tipo di vincolo.
QUANDO IL FIREWALL HARDWARE E'UNA SCELTA OBBLIGATA
Generalmente la scelta di un firewall software o hardware non ha alcun impatto in termini di prestazioni e di velocità, ma solo di costo.
In alcuni casi però la scelta di un hrewall hardware è obbligata.
Per esempio, in reti che fanno uso di meccanismi di cifratura durante le comunicazioni: se il numero delle transazioni è alto potrebbe essere necessario avere un firewall hardware dedicato per le pesanti operazioni matematiche coinvolte nei livelli di codifica.
Molti modelli professionali di firewall hardware includono a tal proposito porte di espansione per schede di accelerazione matematica. I prodotti più cari possono invece disporre dell’hardware matematico relativo già quando escono dalla fabbrica.
Firewall e Antivirus
Home page MC2 E-Learning
Dr.Maurizio Cucchiara
autore del corso:
"Comprendere il PC Corso Base"
disponibile on line su questo sito
MC2 E-Learning S.a r.l.
Formazione per il Web
http://www.mc2.it/html/pc.html
Esistono inoltre leggi che impongono, almeno in ambito aziendale, un livello minimo di attenzione all’integrità delle informazioni.
La mancata applicazione di queste norme può comportare conseguenze civili e penali serie.
Il firewall deve essere frapposto tra la rete interna e il router per l’accesso esterno, creando così un passaggio obbligato per i dati in ingresso e in uscita.
Il dispositivo va configurato con una serie di regole impostate dall’amministratore di rete; in base a queste i dati possono attraversare il dispositivo o essere bloccati.
In questo modo è possibile intercettare i pacchetti potenzialmente dannosi prima che possano nuocere ai pc interni.
La funzione di controllo e di filtro è l’aspetto caratteristico di un firewall, ma non è il suo unico compito.
Il termine è infatti più che altro un’etichetta commerciale e non una definizione tecnica rigorosa.
Ogni produttore “personalizza” il concetto, implementando nelle proprie soluzioni tecnologiche proprietarie o punti di vista specifici.
DUE STRADE POSSIBILI
Uno degli aspetti più controversi dei firewall riguarda la scelta tra quelli software o hardware.
In ambito software si ha un pc standard dotato di due schede di rete, un sistema operativo commerciale (per esempio Windows 2000 o una distribuzione Linux) e il software specifico per le funzioni di firewall.
Quest’ultimo si lega al sistema operativo “agganciandosi” alle librerie di sistema che eseguono la gestione della rete.
Così facendo il firewall software è in grado di intercettare i pacchetti prima che possano intaccare gli applicativi e i file dell’utente.
Gli amanti delle soluzioni hardware obiettano circa la complessità di questa struttura.
Si deve infatti avere un computer a tutti gli effetti, possibilmente di buona qualità per motivi di affldabiità, ma anche per supportare il sistema operativo standard che deve essere installato.
Quest’ultimo elemento è però ritenuto “scomodo” in ambito di sicurezza: i sistemi operativi sono complessi, hanno decine (se non centinaia) di servizi di sistema in esecuzione e sono spesso affetti da bachi di sicurezza.
Tutti appigli che un hacker potrebbe usare per tentare un attacco.
Si arriva quindi a un paradosso: si vuole implementare un meccanismo di protezione in cima a un elemento software, il sistema operativo, che è tipicamente privo di garanzie di sicurezza.
C’è anche il problema della configurazione. Molto spesso i sistemi operativi risultano insicuri perché l’utente non ha le competenze e la cultura tecnica necessarie per impostare il sistema in maniera adeguata.
Una volta che il sistema operativo è attivo non bisogna poi pensare che il problema sia concluso.
Bisogna tenere costantemente monitorato il sistema e applicare tutte le patch di sicurezza che vengono rilasciate nel tempo.
Sussiste anche un problema economico nel caso si scelga la strada del firewall software: si deve acquistare un pc, richiedere una estensione di garanzia per rimanere coperti in caso di guasti, comprare la licenza del sistema operativo (con costi non indifferenti nel caso di un sistema server) e infine acquistare il firewall.
A tutto questo vanno sommati il tempo e i costi per l’installazione, la configurazione e la manutenzione nel tempo di un meccanismo di questa portata.
La strada hardware ha il vantaggio della semplicità.
Si tratta di un’unica “scatola’ che integra tutto il necessario per il funzionamento di un sistema firewall.
Ci sono un computer a tutti gli effetti, in architettura dedicata, un kernel, le funzioni di sistema basilari e il software per il firewall.
Questo sistema non contiene fronzoli, ridondanze o componenti superflui che possono essere fonte di insicurezza.
Nei fatti si hanno pochissimi elementi software in esecuzione all’interno della “scatola”.
Gli eventuali cracker avranno quindi vita molto dura per scovare qualcosa a cui aggrapparsi per violare il sistema (ammesso che vi siano punti esposti).
La linearità è certamente un punto a favore delle soluzioni hardware.
I costi invece non sono necessariamente più bassi.
In commercio si hanno apparati firewall dal costo di poche centinaia di euro fino a soluzioni estremamente avanzate, che possono costare anche decine di migliaia di euro.
Gli amanti delle soluzioni software criticano proprio questo punto.
Questi utenti accettano l’idea che si ha un costo rilevante nella soluzione softwàre, ma affermano anche che l’investimento tende ad essere più contenuto nel caso in cui si debbano mettere in pratica configurazioni molto avanzate, dedicate ad ambienti lavorativi con migliaia di utenti o che facciano uso di protocolli particolari.
E anche vero che non sono così tante le realtà in Italia con necessità così complesse; c’è piuttosto un elevato numero di piccole e medie imprese, che possono essere protette in maniera efficace con una soluzione hardware dal costo contenuto.
UNO SGUARDO ALL’INTERNO
Oggi sono disponibili sul mercato molti prodotti di buona qualità e questa ricchezza di soluzioni ha comportato un calo considerevole dei prezzi. Con un piccolo investimento è possibile comprare un firewall in grado di risolvere gran parte dei problemi di sicurezza.
Questi dispositivi hanno al loro interno un microprocessore,la RAM, uno spazio di memoria non volatile dove sono contenuti il sistema operativo e il software, e l’hardware per comunicare con il mondo esterno.
In pratica è un computer a tutti gli effetti, ma la componentistica non è quella che si trova all’interno dei pc tradizionali.
L'hardware impiegato è meno costoso e poco ingombrante. Questa è la regola, ma esistono anche soluzioni che racchiudono al loro interno un pc vero e proprio; generalmente è una scelta che viene utilizzata negli apparati dedicati a compiti più gravosi.
C’è anche un sistema operativo: un meccanismo così complesso non potrebbe funzionare se non ve ne fosse uno. I puristi dell’hardware, criticando i firewall software, puntano però il dito proprio contro tutti i problemi derivanti dalla presenza di un sistema operativo.
Alla fine si scopre che anche un firewall hardware ne contiene uno.
Qual'è allora il vantaggio? Il punto debole di una soluzione software non è il sistema operativo in quanto tale, ma il fatto che i sistemi operativi commerciali, per attirare il pubblico, indudono un alto numero di funzionalità, servizi, componenti, gadget multimediali, wizard, eccetera, inutili al fine di implementare un sistema firewall e oltre tutto dannosi.
Ogni programma in esecuzione o servizio di sistema può diventare la potenziale porta di ingresso per un cracker.
Il motivo è dato dal fatto che spesso questi servizi sono in esecuzione a insaputa dell’utente.
L'aspetto chiave di un sistema operativo integrato in un firewall è l’essenzialità.
Vengono cioè implementate solo le funzioni basilari necessarie per il funzionamento del sistema.
Il risultato è un sistema senza fronzoli, owero il contrario di quelli commerciali.
Fino a poco tempo fa i firewall hardware destinati alle piccole e medie imprese avevano sistemi operativi sviluppati appositamente per il prodotto.
Questa scelta è stata progressivamente abbandonata nel tempo.
Sviluppare da capo un prodotto software comporta rischi di sicurezza dovuti ancora una volta agli errori introdotti durante la programmazione.
Solo una fase di collaudo di media-lunga durata può far emergere tutti i problemi, ma questo significa usare gli utenti come beta tester.
Si tratta quindi di una condizione poco apprezzata in soluzioni che dovrebbero essere sicure per definizione.
I produttori si sono quindi rivolti ad una soluzione che funziona bene da anni, che risulta aperta e che è in grado di funzionare su un numero molto alto di piattaforme hardware.
Il nome di questa soluzione è Linux. La maggioranza dei firewall hardware dispone oggi di un kernel Linux standard e di pochi, indispensabili componenti di sistema.
Il tutto memorizzato in una memoria flash a bordo del dispositivo, in esecuzione nella RAM di sistema grazie al microprocessore scelto dal produttore.
ll costruttore non fa altro che prendere i codici sorgenti di Linux, adattarli alle proprie esigenze e compilarli per il microprocessore scelto.
Il sistema risulta così molto solido, in quanto già collaudato dai milioni di utenti che hanno usato Linux negli ultimi anni.
Eventuali problemi di sicurezza possono poi essere immediatamente fronteggiati grazie al lavoro dell’instancabile comunità Linux.
L’INSTALLAZIONE
L’installazione fisica di un firewall hardware è molto semplice. Oltre all’alimentazione, ci sono due connettori: uno LAN e uno WAN (acronimo di Wide Area Networlc rete geografica estesa).
La porta LAN è uno spinotto Ethernet standard a cui si collega un cavo di rete che termina nell’hub o nello switch aziendale.
Si tratta del connettore che mette in collegamento il firewall alla rete aziendale interna.
La porta WAN serve per il collegamento all’esterno; tipicamente è un’altra porta Ethernet da collegare con un cavo Ethernet al router per l’accesso a Internet.
Nelle soluzioni di alto livello si può anche avere una porta dedicata per la connessione alla rete in banda larga.
Infine, alcuni firewall integrano sulla parte posteriore un mini hub a quattro porte per mettere in rete un piccolo ambiente senza la necessità di acquistare altri dispositivi.
PROBLEMI DI LICENZA
I Firewall hardware sono spesso venduti con licenze per numero di utenti.
Nei prodotti che hanno licenza per dici utenti, per esempio,si ha uno sbarramento software: l’undicesimo client che si collega viene tagliato tuori e non ha la tacoltà di accedere alla Rete.
Il controllo in questi casi avviene creando una tabella degli indirizzi MAC associati alle schede di rete.
I primi dieci valori collezionati possono navigare mentre i successivi no.
Resettando l’unità si può azzerare la tabella e ricominciare, ma sempre con il vincolo numerico. Per risolvere il problema bisogna comprare una licenza aggiuntiva e aumentare il numero originario.
Questo vincolo è puramente di licenza. Non ci sono cioè problemi software o limiti dell’hardware.
è solo un metodo concepito dal produttore per aumentare i propri guadagni.
Questa è la critica che viene spesso mossa da coloro che preFeriscono le soluzioni software.
Non bisogna però dimenticare che anche molti prodotti software, soprattutto quelli di livello protessionale, hanno uno stesso tipo di vincolo.
QUANDO IL FIREWALL HARDWARE E'UNA SCELTA OBBLIGATA
Generalmente la scelta di un firewall software o hardware non ha alcun impatto in termini di prestazioni e di velocità, ma solo di costo.
In alcuni casi però la scelta di un hrewall hardware è obbligata.
Per esempio, in reti che fanno uso di meccanismi di cifratura durante le comunicazioni: se il numero delle transazioni è alto potrebbe essere necessario avere un firewall hardware dedicato per le pesanti operazioni matematiche coinvolte nei livelli di codifica.
Molti modelli professionali di firewall hardware includono a tal proposito porte di espansione per schede di accelerazione matematica. I prodotti più cari possono invece disporre dell’hardware matematico relativo già quando escono dalla fabbrica.
Firewall e Antivirus
Home page MC2 E-Learning
Dr.Maurizio Cucchiara
autore del corso:
"Comprendere il PC Corso Base"
disponibile on line su questo sito
MC2 E-Learning S.a r.l.
Formazione per il Web
http://www.mc2.it/html/pc.html
Cerca sul web con Google: