Firewall next-generation: oltre il semplice filtraggio dei pacchetti
Il firewall è probabilmente il dispositivo di sicurezza più conosciuto in ambito aziendale. Anche chi non si occupa di IT ha un’idea vaga di cosa faccia: protegge la rete aziendale dal mondo esterno. Il problema è che questa idea vaga corrisponde a ciò che facevano i firewall di vent’anni fa. I firewall next-generation (NGFW) sono qualcosa di radicalmente diverso, e la differenza tra averli e non averli può determinare la sorte dell’azienda in caso di attacco.
Nella pratica quotidiana, mi capita ancora di trovare aziende che si affidano a firewall tradizionali — o peggio, al semplice router fornito dall’operatore telefonico — convinte di essere protette. La realtà è che queste soluzioni non vedono nemmeno la maggior parte delle minacce moderne.
Il firewall tradizionale: cosa fa e cosa non fa
Un firewall tradizionale opera principalmente al livello 3 e 4 del modello OSI — ovvero filtra il traffico in base a indirizzi IP, porte e protocolli. “Consenti il traffico HTTP dalla LAN verso internet”, “Blocca tutto il traffico in ingresso sulla porta 445”. Regole semplici per un mondo che non è più semplice.
Il limite fondamentale è che un firewall tradizionale non ispeziona il contenuto del traffico. Sa che un pacchetto viaggia sulla porta 443 (HTTPS), ma non sa cosa contiene. Un attacco sofisticato mascherato da traffico web legittimo passa indisturbato. Un dipendente che carica dati sensibili su un servizio cloud non autorizzato non viene rilevato. Un malware che comunica con il suo command & control tramite protocolli standard risulta invisibile.
Cosa cambia con i firewall next-generation
Deep Packet Inspection (DPI)
La capacità più distintiva di un NGFW è l’ispezione approfondita dei pacchetti. Il firewall non si limita a guardare l’intestazione del traffico: analizza il contenuto, identificando l’applicazione effettiva indipendentemente dalla porta utilizzata. Questo significa riconoscere Dropbox, Skype, BitTorrent o qualsiasi altra applicazione anche se utilizza porte non standard o tenta di mascherarsi.
Application awareness e control
Con la DPI, i NGFW possono applicare policy basate sulle applicazioni anziché sulle porte. “Consenti Microsoft Teams ma blocca i trasferimenti file su Telegram”, “Permetti la navigazione web ma blocca i servizi di file sharing non autorizzati”. Questo livello di granularità è impossibile con un firewall tradizionale.
Intrusion Prevention System (IPS)
I NGFW integrano un sistema di prevenzione delle intrusioni che analizza il traffico in tempo reale alla ricerca di pattern noti di attacco. Exploit, buffer overflow, SQL injection, cross-site scripting: l’IPS rileva e blocca automaticamente questi tentativi prima che raggiungano il bersaglio.
SSL/TLS Inspection
Oltre l’80% del traffico web è oggi crittografato (HTTPS). Un firewall che non ispeziona il traffico crittografato è cieco nei confronti della maggior parte delle minacce. I NGFW possono decifrare, ispezionare e ri-cifrare il traffico SSL/TLS, applicando tutte le regole di sicurezza anche al traffico cifrato.
Threat Intelligence integrata
I NGFW moderni si aggiornano continuamente con feed di threat intelligence — database di IP malevoli, URL di phishing, firme di malware, indicatori di compromissione. Quando un dispositivo in rete tenta di comunicare con un server noto come malevolo, il firewall blocca la connessione in tempo reale.
Sandboxing
Alcuni NGFW includono capacità di sandboxing: i file sospetti che transitano per il firewall vengono eseguiti in un ambiente isolato per verificarne il comportamento prima di consentirne il passaggio. Questo è particolarmente efficace contro malware zero-day per cui non esistono ancora firme di rilevamento.
Scegliere il NGFW giusto
Il mercato offre numerose soluzioni, dai leader di settore come Fortinet FortiGate, Palo Alto Networks e Sophos XGS, fino a soluzioni open source come pfSense e OPNsense (che offrono alcune funzionalità NGFW). La scelta dipende da diversi fattori:
- Dimensione dell’azienda e throughput necessario: la DPI e l’ispezione SSL richiedono potenza di calcolo. Il firewall deve essere dimensionato per gestire il traffico reale senza diventare un collo di bottiglia.
- Funzionalità necessarie: non tutte le aziende hanno bisogno di tutte le funzionalità. Identificare le priorità evita di pagare per moduli inutilizzati.
- Facilità di gestione: un firewall complesso ma mal configurato è peggio di uno semplice ben configurato. L’interfaccia di gestione e la qualità della documentazione contano.
- Costi di licenza ricorrenti: molte funzionalità NGFW (IPS, threat intelligence, sandboxing) richiedono licenze annuali. Valutare il TCO (Total Cost of Ownership) su 3-5 anni.
- Supporto e community: in caso di problemi, poter contare su supporto tecnico competente e una community attiva fa la differenza.
Best practice per la configurazione
- Default deny: partire bloccando tutto e aprire solo ciò che serve, anziché il contrario
- Segmentazione della rete: utilizzare il firewall per separare le zone di rete (LAN, DMZ, guest, IoT) con policy specifiche per ciascuna
- Logging completo: attivare il logging di tutto il traffico significativo per l’analisi post-incidente
- Aggiornamenti automatici: le firme IPS e i feed di threat intelligence devono aggiornarsi automaticamente e frequentemente
- Review periodica delle regole: le regole del firewall tendono ad accumularsi nel tempo. Una revisione semestrale elimina regole obsolete e riduce la complessità
Protezione moderna per minacce moderne
Il passaggio da un firewall tradizionale a un NGFW non è un lusso: è una necessità dettata dall’evoluzione delle minacce. Le aziende che continuano a proteggere la propria rete con tecnologie di vent’anni fa si espongono a rischi inaccettabili in un panorama dove gli attacchi sono sempre più sofisticati e mirati.
Vuoi valutare se il tuo firewall è ancora adeguato alle esigenze attuali? Auxilia Sistemi effettua assessment gratuiti dell’infrastruttura di sicurezza per identificare gap e opportunità di miglioramento. Chiamaci al 06 2170 1593.
