Symantec Italia
siti globali
prodotti e servizi
acquisto
supporto
partner
security response
downloads
informazioni su Symantec
ricerca
feedback


© 1995-2008 Symantec Corporation.
All rights reserved.
Note legali
Politica sulla privacy

Firewall: per una configurazione senza problemi

Per ragioni di semplicità, le aziende affidano spesso la configurazione del proprio firewall a un fornitore di servizi esterno. È comunque opportuno che le aziende conoscano i principi di base di una buona configurazione. Ciò contribuirà a garantire il successo dell'implementazione.

I firewall, come gli antivirus, sono indispensabili per la sicurezza informatica di un'azienda. Tuttavia, a differenza degli antivirus, l'implementazione e la configurazione dei firewall richiedono competenze specifiche che un'azienda riceve dall'amministratore del sistema. Per quanto salde siano queste competenze, spesso non sono sufficienti a impedire di incontrare delle difficoltà, soprattutto se l'azienda non ha effettuato una corretta pianificazione prima dell'implementazione del firewall. Questa preparazione può essere effettuata internamente, dal reparto IT. Questa fase di analisi, inoltre, ben lungi dall'essere inutile, aiuterà a ottenere un quadro più completo del sistema informatico e delle sue insidie. In sostanza, richiede l'esecuzione di un rapido controllo, a metà strada tra un'indagine tecnica e una organizzativa.

Una valutazione approfondita dei requisiti di connettività

Il primo passo di questa valutazione consiste nell'ottenere una visione chiara delle risorse aziendali e nel determinare quali di queste debbano avere accesso tramite Internet (e-mail, browser Web, e così via) e quali debbano avere accesso in remoto (server Web, extranet, e così via). Questa attività si riassume nell’identificare le applicazioni, l'hardware (router, switch, workstation) e i dati disponibili. È’ indispensabile valutare le esigenze di connettività in ciascun caso specifico (è davvero necessario che questo servizio sia disponibile sul Web o sulla rete locale?) e i rischi connessi alla concessione di aperture al Web sulla rete. Queste sono, in sostanza, le osservazioni che consentiranno di tracciare le linee guida per il firewall. È un passaggio fondamentale, pertanto non è consigliabile delegarlo interamente a un fornitore di servizi esterno.

Il passaggio successivo è creare i gruppi di utenti. Questa suddivisione può avvenire ad esempio per reparto o per esigenze specifiche. Consente di abbinare le risorse tecniche precedentemente identificate con il personale che ne farà uso. L'obiettivo di questa valutazione è limitare gli accessi non strettamente necessari, che potrebbero porre rischi di sicurezza per la rete.
Tutti i gruppi possono, naturalmente, condividere i servizi: non è necessario che l'accesso all'e-mail o la navigazione su Internet siano limitati ad alcuni dipendenti. D'altro canto, non è neppure necessario che sia consentito a tutti l'accesso in remoto ai server FTP o ad alcuni strumenti di messaggistica immediata. La maggior parte dei firewall oggi in commercio consente di creare gruppi di utenti e assegnare a ciascuno di essi delle regole specifiche.

Semplicità di comunicazione con il fornitore di servizi

Una volta acquisito un quadro più chiaro delle risorse e degli utenti, l'azienda potrebbe richiedere una revisione dell'architettura della propria rete. Per farlo, può rivolgersi a un consulente che guidi il processo di implementazione, anche nel caso disponga internamente di tutte le risorse operative necessarie: l'azienda sa chi deve usare o accedere a cosa. Un esempio: l'azienda si rende conto che è più saggio assegnare una DMZ (zona demilitarizzata) ad un determinato gruppo di utenti con autorizzazioni di accesso particolarmente ampie (come gli sviluppatori), oppure riorganizzare la propria struttura considerando ciascun reparto come una rete isolata con le proprie risorse di stampa e condivisione file. In questa fase l'azienda scopre di poter usufruire delle funzioni di filtro esistenti (i router, ad esempio) per rendere più "granulare" la rete.

Solo una volta completate queste sessioni di approfondimento e revisione, l'azienda sarà in grado di implementare il firewall comunicando in modo efficiente con il proprio fornitore di servizi. In questa fase il ruolo del responsabile IT sarà quello di controllare le regole di base impostate dal fornitore di servizi. In particolare, sono cinque i punti da controllareche costituiscono le regole minime per l’amministrazione di un firewall; difficilmente un fornitore commetterà un errore di questo genere, ma sarà bene non affidare la sicurezza della propria azienda a coloro che cadono in questa trappola.

  • È stata applicata una politica restrittiva (ossia proibire tutto e concedere autorizzazioni solo per specifici servizi)?
    Questo è un punto fondamentale nella gestione di un firewall. Č È ’possibile impostare filtri solo per limitare l'accesso a servizi potenzialmente pericolosi: una soluzione semplice per il fornitore , ma che lascia l'azienda esposta a usi imprevisti non legittimi. In alternativa, è possibile impedire l'accesso a tutti i servizi tranne a quelli legittimi: questa è la soluzione consigliata, ma naturalmente richiede più lavoro!
  • Quali sono le regole predefinite impostate da questo specifico firewall?
    Alcuni firewall comprendono delle impostazioni predefinite, studiate per garantire la massima compatibilità di configurazione; questo non significa necessariamente che siano adatte allo specifico profilo dell'azienda.
  • È stato negato l'accesso dell’area perimetrale a tutti i pacchetti di dati con indirizzo di origine non instradabile?
    Gli indirizzi IP di questo tipo (come 192.168.0.0/255.255.255.0 o 10.0.0.0/255.0.0.0) vengono utilizzati nelle reti locali. Una connessione a Internet con questo indirizzo è sintomo di un attacco in corso: l'hacker sta cercando di sfruttare le "relazioni di fiducia" create all'interno della rete locale per farsi passare per uno dei suoi membri.
  • Sono stati proibiti i cosiddetti pacchetti di dati origine di routing?
    Anche questa situazione è sintomo di un classico attacco: l'hacker tenta di aggirare il firewall forzando i pacchetti di dati a utilizzare un'altra strada. Questo tipo di comportamento dovrebbe risultare completamente proibito nella rete perimetrale aziendale.
  • Quali servizi IP sono resi disponibili dal firewall?
    Sono accessibili in remoto? In che modo viene controllato l'accesso? Molti prodotti offrono funzioni remote di amministrazione tramite un semplice browser. Questi accessi, se non vengono monitorati (o eliminati), possono aiutare un intruso a imporre le sue regole sul firewall e quindi a ottenere un accesso privilegiato al sistema informatico.

Inutile dire che è un preciso compito del fornitore di servizi tradurre la nuova politica di sicurezza in linee guida specifiche per il firewall scelto. L'azienda avrà quindi un'idea chiara dell'implementazione e la certezza che il firewall risponderà alle sue esigenze.

Per un ulteriore approfondimento: