Per sfruttare al meglio le potenzialità offerte da uno strumento come il firewall, è necessario definirne le regole tenendo conto che usarlo in entrata o in uscita non è la stessa cosa. Si devono fissare in modo differente per proteggere adeguatamente un ambiente IT aziendale.
In entrata, per esempio, queste regole vanno pensate nell’ottica di proteggere il network dal traffico indesiderato in arrivo da Internet o da altre reti. Particolarmente pericolose sono le connessioni non consentite, per esempio legate a malware e attacchi DoS.
In uscita, invece, le regole del firewall devono servire a controllare le richieste di connessione a risorse esterne alla rete. Per esempio, verso un servizio di posta elettronica o verso un sito web si potrebbe avere il via libera, ricevendo invece uno stop per la richiesta di connessione a siti non approvati o pericolosi.
Un singolo firewall in genere svolge entrambe le funzioni e questo può sviare. È invece sostanziale ricordarsi di differenziare l’utilizzo sul traffico in entrata da quello sul traffico in uscita.
Traffico in entrata e traffico in uscita
È normale che qualsiasi organizzazione abbia sia traffico in entrata che traffico in uscita sulla propria rete. Dall’esterno può arrivare la richiesta da parte di un utente con un browser web, di un client di posta elettronica, di un server o di un’applicazione che effettua richieste (come FTP e SSH) oppure possono arrivare chiamate API a servizi web. Sono traffico in entrata. Quello in uscita può invece derivare dal bisogno di un individuo interno alla rete aziendale di utilizzare servizi Internet o reti esterne.
In generale i firewall sono progettati e implementati per impedire al traffico di entrare in una rete e per impedire al traffico in uscita di collegarsi a risorse esterne considerate non conformi ai criteri di sicurezza dell’organizzazione.
La differenza tra regole firewall in entrata e in uscita
Per consentire l’ingresso o l’uscita di un certo tipo di traffico su porte, servizi e indirizzi IP specifici, ogni firewall per sua natura permette di personalizzare le regole che ne governano l’attività.
Quelle in entrata servono per proteggere la rete dal traffico che si riconosce come proveniente da fonti dannose. Lo bloccano per impedire ad attacchi come malware e DDoS di colpire.
Diversamente, le regole del firewall in uscita decidono quando il traffico può lasciare la rete e raggiungere destinazioni che siano legittime. Servono per bloccare le richieste inviate a siti web dannosi e domini non attendibili, così come a prevenire l’esfiltrazione dei dati, grazie all’analisi del contenuto di e-mail e file inviati da una rete.
La policy a cui si riferisce la configurazione delle regole in entrata e in uscita si basa sulla valutazione del rischio delle risorse che protegge e sulle esigenze di utenti e servizi all’interno della rete aziendale. Al reparto risorse umane si potrebbe consentire l’accesso a Internet e alla rete del reparto contabile dell’azienda, oppure no, per esempio. Si può decidere.
Qualsiasi modifica alle regole del firewall in entrata e in uscita deve essere pianificata, implementata e monitorata con attenzione per evitare conseguenze impreviste. Una manovra frettolosa e imprecisa potrebbe al contrario bloccare anche le richieste invece valide, creando problemi a tutte le attività aziendali legittime.
Utilizzo delle regole del firewall in entrata
Da sempre i firewall proteggono i sistemi di rete interni dalle minacce esterne applicando regole che agiscono sul flusso del traffico in entrata. L’obiettivo è quello di impedire che il traffico dannoso entri nella rete, proteggendo le risorse che si trovano al suo interno.
I firewall possono essere posizionati in vari punti all’interno di una rete. Serve metterli sul perimetro, nel punto dove la rete si connette a Internet, ma anche all’interno sono utili per dividere la rete in singole sottoreti più piccole, realizzando una segmentazione della rete. Questa pratica permette di configurare le regole in entrata di ciascun firewall per proteggere le risorse specifiche di ogni segmento creato. Per esempio, quello che protegge il segmento HR della rete consente solo le richieste in entrata dei dipendenti HR con i privilegi necessari. Se si vuole proteggere il perimetro della rete, invece, il firewall deve avere regole decisamente meno restrittive, ma sempre basate su informazioni relative alle minacce, per bloccare il traffico proveniente da indirizzi IP o siti dannosi.
Utilizzo delle regole del firewall in uscita
In uscita, le regole del firewall proteggono anche le risorse di rete interne, ma funzionano impedendo agli utenti interni di accedere a contenuti dannosi e ai dati sensibili di lasciare la rete, violando i criteri di sicurezza. Per esempio, queste regole servono in ambienti chiusi, dove bisogna controllare il comportamento della rete fino ai livelli di host, applicazione e protocollo.
È fondamentale monitorare e controllare il traffico in uscita per i team di sicurezza, perché è il principale modo per impedire l’esfiltrazione di dati sensibili o malware o tentativi di malintenzionati.
Per controllare il traffico in uscita si ricorre talvolta a un dispositivo firewall dedicato o a un servizio cloud off-site, come un gateway web sicuro, perché servono tecnologie di filtraggio particolari. Si tratta di sistemi in grado di svolgere funzioni mirate, come il filtraggio dei contenuti per la posta elettronica o la navigazione web. Spesso si collegano al servizio di directory aziendale – Active Directory e Lightweight Directory Access Protocol – in modo da fornire accesso, filtraggio e reporting in base all’account di rete di ciascun utente.
Altri sistemi firewall cercano malware in uscita e minacce legate alla sicurezza, tra cui le ricerche DNS su host noti come minacciosi o inseriti in un elenco di blocco.
I firewall sono in continua evoluzione e resteranno a lungo un controllo di sicurezza fondamentale in qualsiasi rete. I più moderni utilizzano i feed di threat intelligence, l’intelligenza artificiale e l’apprendimento automatico per aggiornare rapidamente le regole in entrata e in uscita, in modo da poter contrastare anche le minacce nuove ed emergenti man mano che si sviluppano.
Oggi come in futuro, le regole dei firewall in entrata e in uscita richiedono un’attenta configurazione e un regolare monitoraggio delle anomalie del sistema. Anche i firewall più sicuri non possono fare molto. Le aziende che non dispongono delle risorse interne necessarie, tra cui la formazione sui prodotti e le conoscenze in materia di sicurezza, possono pensare di affidare la gestione dei propri ambienti firewall a un fornitore di servizi di sicurezza gestiti in outsourcing (MSSP). Potrebbero contare su un servizio di monitoraggio della sicurezza di rete dedicato, 24 ore su 24 e 7 giorni su 7 per ridurre al minimo i rischi associati.
