Ben presto però ci si accorse che da solo il filtraggio dei pacchetti non garantiva un adeguato livello di protezione soprattutto a fronte della crescita impetuosa del numero di potenziali intrusori e della raffinatezza delle loro tecniche distruttive. Nel 2002 gli analisti di Gartner, pubblicarono un rapporto destinato a suscitare molto clamore tra i produttori di firewall; che cosa si diceva nel rapporto? In sostanza si leggeva che se a livello di rete (network layer) l'efficienza dei firewall era stata complessivamente adeguata, a livello applicativo, vale a dire dal principale focolaio delle peggiori infezioni, l'affidabilità degli stessi era lungi dall'essere soddisfacente; dato il perdurare di questo limite il rapporto affermava che i firewall non potevano essere considerati soluzioni in grado di fornire sicurezza a 360°.La risposta da parte dei produttori non si fece attendere e nuove funzionalità accompagnate da notevoli migliorie sul piano hardware si sono accavallate da allora senza soluzione di continuità.

Il processo di integrazione di dispositivi e funzionalitàSul fronte manageriale le strategie volte a tutelare la sicurezza dei sistemi It sono profondamente mutate, anche in ragione della sempre più ampia integrazione tra i dispositivi impiegati per difendere l'azienda dai pericoli della rete.In questo senso non fanno eccezione i firewall la cui sempre maggiore integrazione di funzionalità è la risposta all'evoluzione del mercato verso il concetto di appliance come risposta alle esigenze di sicurezza e alla diffusa sensazione che per fronteggiare adeguatamente minacce sempre più “blended” l'integrazione rappresenti la strada più efficiente da percorrere, come testimonia la natura stessa dell'offerta di firewall di ultima generazione.E' lecito supporre pertanto che la tendenza a portare sul mercato firewall dedicati e performanti, ingegnerizzati per integrarsi al meglio con le altre soluzioni dedicate, sia destinata a rafforzarsi.Tuttavia questo processo d'integrazione richiederà ancora del tempo. In primo luogo per una semplice questione semantica, testimoniata per esempio dallo sforzo da parte di istituti di ricerca ma anche dagli stessi produttori, di identificare univocamente dispositivi che per loro natura sono invece eterogenei. Così per esempio Gartner per differenziare i vari segmenti di mercato considera i firewall per le applicazioni web un mercato distinto dai firewall di rete, così come considera a loro volta gli Ips (Intrusion Prevention System) a parte da tutti gli altri.Va da sé che questi tentativi acrobatici di classificazione e segmentazione fittizia del mercato perdono progressivamente di significato quando si ha di fronte una soluzione che riunisce molteplici funzionalità integrate di sicurezza. In questo senso si spiega la recente classificazione di IDC che sotto la sigla Utm (Unified Threat management) riunisce tutte le soluzioni all-in-one che comprendono funzionalità di firewalling, Ids/Ips e antivirus (Av).Tuttavia è soprattutto in relazione alle performance di questi dispositivi che permangono ancora alcune incertezze. Fino a oggi infatti il limite maggiore delle soluzioni all-in-one è stato soprattutto di flessibilità.Spesso infatti le problematiche maggiori si sono incontrate nello sforzo di far coesistere funzionalità eseguite a livello hardware (firewall e Vpn) con altre che richiedono di essere eseguite come “normali” applicazioni, per esempio durante il controllo approfondito di protocolli e antivirus: “In questi casi si rivela vincente la scelta di implementare soluzioni software, avendo ben in mente che delegare alcune attività da esse svolte ad altre componenti hardware (come nel caso della crittografia) permette di ottenere la massima integrazione e al tempo stesso elevate prestazioni”, afferma Lorenzo Centurelli, Technical Manager di Check Point Software Technologies Italia ( www.checkpoint.com ). In altre parole grazie alla flessibilità e alla modularità delle soluzioni software e all'impiego di opportune metodologie di sviluppo e implementazione, dovrebbe risultare più agevole sfruttare al massimo le risorse hardware a disposizione.In quest'ottica si spiega altresì la scelta di Symantec, che, come ci chiarisce Giuseppe Borgonovo, Pre-Sales Technical Manager di Symantec Italia ( www.symantec.com ), “a una approccio di produzione dei dispositivi firewall hardware-based, sicuramente performante ma poco flessibile, ha preferito adottarne uno basato sia su hardware sia software che- aggiunge Borgonovo -, ci consente di effettuare tutti gli aggiornamenti del firmware attraverso il software per ottenere una maggiore flessibilità”.

La strategia di segmentazione Sin qui abbiamo evidenziato come l'evoluzione tecnica dei firewall sia stata indirizzata soprattutto per fronteggiata la complessità e la diffusione delle minacce provenienti dall'esterno della rete aziendale.Tuttavia come rileva Ombretta Comi, Marketing Manager Italy di McAfee ( www.mcafee.com ): “Data la grande eterogeneità di reti e perimetri l'implementazione efficace dei firewall tradizionali risultava in passato estremamente problematica”. Per questa ragione l'enfasi si spostò gradatamente da una protezione basata sul perimetro a un controllo a livello di applicazione.In quest'ottica, osserva ancora Comi, si spiega altresì la costituzione del Jericho Forum organismo nato proprio per spingere i vendor di sicurezza a rivedere il proprio approccio ai problemi di sicurezza It in funzione delle necessità effettive delle aziende clienti.Come sappiamo però non solo dall'esterno provengono i pericoli maggiori e che anzi già al proprio interno le reti possono prestare il fianco a pericolose vulnerabilità.Una soluzione efficace per gestire al meglio la sicurezza interna è la suddivisione del proprio network in zone omogenee, dotate di propri dispositivi (anche virtuali) e presidiate da un firewall, sulla base di strategie e policy di sicurezza sviluppate per le diverse esigenze di ogni funzione aziendale.Parliamo di quella che a livello enterprise è definita una politica di sicurezza a strati, implementata da apparati che, a seconda della “isola” in cui sono posizionati, svolgono solo determinate attività (Ips, Ids, Fw, Av ecc.).Si intuisce che il pericolo maggiore è di cadere nell'errore di effettuare una segmentazione esagerata, il cui unico risultato è quello di rendere la gestione troppo complessa.Se queste sono le premesse è lecito chiedersi perciò se la segmentazione rappresenta una valida strategia.Naturalmente non è possibile dare una risposta univoca. Esistono organizzazioni complesse per le quali la definizione e la conseguente protezione di zone della rete particolarmente critiche è una strada percorribile con ottimi risultati.Secondo Fabio Panada, Technical Manager di Internet Security Systems ( www.iss.com ), “la scelta di suddividere i sistemi in varie sottoreti la cui tipologia può variare da caso a caso, è sempre consigliabile”. Ciò consentirebbe una visione più chiara dei sistemi e delle applicazioni, semplificandone la gestione e assicurando di conseguenza un livello più alto di sicurezza. L'unico limite di questa strategia è che essa per produrre risultati apprezzabili necessita di strumenti di management adeguati, vale a dire tecnologicamente avanzati e scalabili; ma in tal senso “la potenza delle console di gestione attuali facilitano enormemente il lavoro di chi deve gestire anche migliaia di apparati distribuiti in più sedi”, afferma Panada. Più sfumata è invece la posizione di Sergio Manidi, amministratore delegato di Noxs Italy ( www.noxs.it ) secondo il quale per valutare l'efficacia delle strategie di segmentazione occorre analizzare attentamente l'impatto che i numerosi elementi di complessità introducono nella gestione delle politiche di sicurezza aziendali; tuttavia sempre secondo Manidi pur con le opportune eccezioni “si tratta di una complicazione ripagata dalla flessibilità e dalla granularità dell'architettura di sicurezza complessiva”.Altre esperienze dimostrano però che a una eccessiva frammentazione corrisponde un'eccessiva problematicità nella gestione della rete che non tutte le realtà sono in grado fronteggiare. “Il mercato italiano, a eccezione della PA, delle banche, delle Telco e di una parte marginale del comparto industriale, è composto in massima parte da organizzazioni con reparti It di piccole o piccolissime dimensioni che necessitano di soluzioni complete definite sulla base di una politica di sicurezza unitaria per tutta l'azienda”, rileva Vito Divincenzo Director of Sales Sophos Italia ( www.sophos.com ). Secondo Roberto Puma Country Manager di Panda Software Italia ( www.pandasoftware.it ) “la segmentazione delle reti si scontra con la realtà delle aziende: la mancanza di risorse specializzate o del tempo necessario alla gestione delle policies”. E' innegabile infatti che vi siano situazioni, è il caso delle Pmi, in cui l'utilità di complicare drammaticamente l'architettura di rete per ottenere un'infrastruttura ottimale dal punto di vista della sicurezza è quantomeno dubbia.Pertanto le aziende più piccole che non hanno la necessità di filtrare grandi quantità di dati, un'appliance multifunzione rappresenta un valido compromesso tra costi e benefici. “Il problema maggiore sarà quello di individuare il loro corretto dimensionamento prevedendo oltre a configurazioni in alta affidabilità anche la necessaria potenza elaborativa”, osserva Domenico De Angelis, direttore tecnico di Alpha Sistemi ( www.alphasistemi.com ).E' ovvio che tutto ciò ha comunque un costo, che è bene non sottovalutare. “Il raggiungimento degli obiettivi di sicurezza e di contenimento dei costi rende necessaria una gestione semplificata di queste soluzioni che ne riduca la complessità intrinseca della loro architettura”, puntualizza Elio Molteni Executive Security Advisor di CA ( www.ca.com ).Ma c osa succede quando il numero di zone aumenta in maniera esponenziale? In questo caso secondo Luigi Mori, Network Security Manager Symbolic Spa ( www.symbolic.it ) occorre cambiare completamente tipo di approccio, vale a dire “passare da una tecnologia di firewall centralizzato a un sistema di personal firewall distribuiti sui client con le policy gestite da un punto centrale”.Pertanto la segmentazione, per essere davvero efficace, dovrà essere implementata con tecnologie integrate e un sistema di gestione unificato. Ciò significa che è indispensabile avere la possibilità di aggiornare in tempo reale tutti i dispositivi di sicurezza, da quelli dedicati ai singoli Pc degli utenti. “La complessità delle reti aziendali impone la necessità di utilizzare più dispositivi con differenti funzionalità in base al segmento da proteggere, con l'obbligo di una gestione centralizzata”, ci conferma Andrea Ghislandi, Marketing Manager di DI.GI International Spa ( www.digisecurity.net )). Diventa perciò fondamentale la predisposizione di un unico punto centralizzato di controllo, soprattutto nel caso in cui si presenti la necessità di sostituire gli apparati in caso di guasto, il tutto senza impattare sulle attività produttive in azienda.L'esigenza è quella di poter fronteggiare ogni necessità (nuove minacce o nuovi assetti della rete) e nel contempo fare in modo che tutti i sistemi collaborino per applicare i livelli di sicurezza definiti, isolando i sistemi corrotti, tutelandosi così dal pericoloso di dannose contaminazioni al resto della la rete.

Le prossime sfide del firewallingSe i primi campi di battaglia dei firewall sono stati i livelli 3-4 della pila Iso/Osi, il naturale approdo di questi dispositivi è stato il livello 7 vale a dire l'interfaccia di comunicazione con i programmi (Application Program Interface).In particolare grazie all'integrazione delle tecnologie Ids/Ips, Av e Anti-Spam le firewall engine sono arrivate ad analizzare tutti e tre i livelli della pila (sessione, presentazione, applicazione) coprendo così di fatto tutti i protocolli.Tuttavia l'analisi dei protocolli richiede una quantità di risorse difficilmente presenti su un appliance firewall. Non è azzardato perciò prevedere che su questo terreno si avranno in futuro sensibili miglioramenti tecnologici, come ci conferma Mori di Symbolic, secondo il quale “la sfida sarà quella di continuare a garantire elevate prestazioni e nel contempo riuscire a effettuare analisi approfondite dei protocolli senza incorrere in conflitti e falsi positivi”.Una componente critica nell'architettura dei firewall è il processore. Da sempre la loro potenza rappresenta un fattore critico nelle performance di un firewall e ciò spiega perché ormai da qualche anno si privilegi la scelta di costruire firewall le cui numerose funzionalità siano attivabili separatamente e a seconda delle necessità, dotandoli di processori Asic (Application Specific Integrated Circuit); questa Cpu impiegata sia in ambito Firewall (appliance integrati multifunzione), sia in ambito Intrusion Prevention System (Ips) migliora sensibilmente le loro performance.Dato che a questi dispositivi viene richiesto di registrare migliaia di eventi al secondo e naturale che per svolgere questo compito essi siano letteralmente affamati di banda.In tal senso per migliorare le performance delle soluzioni di firewall al crescere del throughput richiesto dalle aziende, una strategia affidabile è senz'altro quella di utilizzare piattaforme hardware dedicate il cui sistema operativo sia stato opportunamente customizzato. In questo modo si dovrebbe raggiungere l'obiettivo di ottimizzare le performance della soluzione riducendo i tempi necessari alle operazioni di gestione.Abbiamo già detto del processo di integrazione che sta investendo numerosi dispositivi di sicurezza tra cui i firewall. E' evidente che nelle reti attuali siano ancora troppi gli elementi che per avere alta affidabilità necessitano di essere ridondati. Ciò comporta da un lato un aumento esponenziale della complessità di gestione a livello 2 (switch multipli, Vlan, Spanning Tree ecc.) e dall'altro il lievitare sensibile dei costi.Per questa ragione assistiamo all'immissione sul mercato di soluzioni che raggruppano funzionalità prima separate, in un solo dispositivo come nel caso di device che utilizzano la tecnologia delle schede “blade” associate a una gestione del fail-over e del networking integrato nella scheda di controllo. Su questo solco altre soluzioni di sicuro arriveranno a breve, considerando anche le partnership che si stanno sviluppando tra i produttori in ambito networking e firewall che dimostrano tra l'altro come tecnologie contigue finiscano per diventare complementari anche a livello di soluzione; ed è altresì probabile che riceveranno ulteriore impulso le soluzioni integrate di switch/router dotate di schede dedicate al firewalling.Abbiamo visto che grazie alla disponibilità di dispositivi sempre più evoluti le aziende sono già in grado di segmentare in maniera molto raffinata le reti, separandole logicamente una dall'altra; sul fronte delle connessioni internet grazie al bilanciamento del carico la disponibilità ininterrotta della stessa sarà sempre più spesso garantita, mentre grazie alla diffusione di alcune tecnologie proprietarie è già fattibile il raggruppamento di più appliance in un cluster in grado di assicurare l'operatività ininterrotta del firewall. Anche sul fronte dell' architettura dei firewall la loro robustezza è stata costantemente implementata; pensiamo per esempio alle migliorie apportate alle unità di alimentazione, alle ventole di raffreddamento oppure agli hard drive (Raid) rimovibili a caldo; ciò ha reso possibile la sostituzione immediata dei componenti guasti senza necessità di fermi del sistema salvaguardando il più possibile la business continuity.Come rileva Marco Misitano, Cissp, Cism Advanced Technologies, Security, Cisco Systems Italy ( www.cisco.com ) le conquiste ormai acquisite non devono però indurci a minimizzare la portata dell'evoluzione negli ultimi anni dei firewall: “Il firewalling oggi è in grado di offrire funzionalità di filtraggio di un efficacia fino a poco tempo fa impensabile, offrendo protezione da virus, worm, spyware e attacchi di distribuited denial of service (DDoS); esso consente inoltre il trattamento di applicazioni avanzate come la telefonia e il video su Ip e il riconoscimento di applicazioni indesiderate come peer to peer (P2P) e instant messaging, incorporando altresì funzionalità di Url filtering e intrusion protection (Ips)”. Senza dimenticare che oggi i firewall integrano anche funzionalità di Vpn che consentono alle aziende di implementare collegamenti sicuri tra le proprie sedi che facilitino il lavoro di tutti i propri collaboratori e partner.

http://www.datamanager.it/articoli.php?idricercato=13693