Firewall UTM: cinque validi motivi per cui averlo in azienda

Il termine Firewall UTM fa riferimento a un sistema di cybersecurity che integra i meccanismi di difesa perimetrale di un Firewall e la gestione unificata degli attacchi di un servizio UTM.

In questo articolo esamineremo in dettaglio cos’è un Firewall UTM, illustrando quali sono i principali vantaggi apportati da questa tecnologia nella difesa della rete aziendale.

Nato come sistema di difesa esclusivamente perimetrale, ossia volto a debellare attacchi provenienti essenzialmente dall’esterno, il Firewall viene oggi impiegato per monitorare il traffico di rete: sia in entrata che in uscita.

Basandosi su predeterminate regole di sicurezza, il firewall è in grado di rilevare eventuali anomalie e reprimerne gli effetti indesiderati.

Da un punto di vista prettamente tecnico, un firewall è una componente software che può essere potenzialmente integrata su qualsiasi struttura hardware.

Il firewall viene di norma implementato con sistema operativo Linux o Unix e integrato in modo da includere i pacchetti necessari a fornire le funzionalità richieste. Su di esso viene solitamente eseguito un processo di hardering che porta a:

• un generale irrobustimento del sistema

• eliminazione delle opzionalità non necessarie

• corretta configurazione dei servizi

• impostazione di policy di accesso restrittive

L’utilità di un firewall è da paragonarsi ad una sorta di filtro con un approccio detto a whitelist: in buona sostanza, l’esplicitazione di regole su cui il firewall dovrà basarsi determinerà tutto ciò a cui sarà consentito oltrepassare il perimetro di rete. Tutto il resto verrà repentinamente bloccato. A questo punto si potrebbe pensare che più stringenti siano le regole, maggiormente sicura sia la rete. In realtà questo tipo di proporzionalità lineare non è sempre garantita.

Per questo motivo e molti altri, sarà opportuno adottare un approccio basato su un threat model.
Trattare le minacce secondo il modello del threat model indica il processo mediante il quale è possibile identificare ed enumerare potenziali minacce, come vulnerabilità strutturali o assenza di salvaguardie appropriate, e dare priorità alle contromisure.

In tal modo sarà possibile implementare regole ad hoc in base alle priorità del singolo caso.

Lo standard ISO/OSI, progettato da Open System Interconnection e promosso da International Organization for Standardization, è un modello che suddivide la struttura logica delle reti in uno stack di protocolli segmentato su 7 livelli o layers.

Ognuno di essi si occupa di una specifica area, passando dal mezzo fisico al dominio applicativo.

La sua funzione è essenzialmente quella di consentire la comunicazione tra sistemi differenti, definendo i meccanismi attraverso i quali i dati vengono inviati da un mittente a un ricevente.

Data questa impostazione concettuale delle reti, e poiché il firewall analizza proprio il flusso di traffico dati al loro interno, sarà facile intuire che la loro differenziazione si basa proprio sul livello di rete che monitorano.

Pertanto, possiamo distinguere diverse tipologie di firewall tra cui:

Packet filter firewall

utilizza le informazioni presenti al livello di rete ed eventualmente al livello di trasporto.
Questa tipologia è anche detta stateless, perché, analizzando ogni datagramma separatamente, non è in grado di tracciare le connessioni.
Il vantaggio è insito nella sua semplicità computazionale e di progettazione, a spese però di: una scarsa protezione dalle vulnerabilità specifiche delle applicazioni. Inoltre, le poche regole processate a cascata, ossia sequenzialmente, essendo basate su pochi parametri rischiano di essere o troppo permissive o troppo limitative.

Firewall stateful

a differenza del packet filter firewall, questa categoria è in grado non soltanto di analizzare i pacchetti a livello di trasporto, ma anche di contestualizzarli attraverso protocolli connection oriented, come il TCP (Transmission Control Protocol). Stateful firewall è in grado di tenere traccia delle connessioni aperte e consentire dinamicamente il traffico in ingresso solo sulle porte strettamente necessarie. Così facendo, riesce a limitare notevolmente la superficie di attacco. Pur necessitando di una potenza computazionale superiore rispetto ai packet, ad oggi qualsiasi firewall anche a livello domestico, contiene tutte le funzionalità dello stateful.

Permane, però, la mancata capacità di analisi a livello applicativo.

Application-level firewall (o circuit-level gateway o application proxy)

filtra tutto il traffico relativo ad uno stesso servizio/applicazione, agendo da intermediario a livello applicativo.

Questo tipo di firewall è in grado di analizzare il traffico dati a tutti i livelli della pila ISO/OSI, sebbene, riferendosi a singoli servizi, sia disponibile soltanto su quelli che sono esplicitamente in grado di supportarlo.
La maggiore complessità di gestione, pur essendo sinonimo di un aumento nei livelli di sicurezza, può talvolta tradursi in un incremento di falsi positivi. Opera essenzialmente come un main-in-the-middle (intercettando ed eventualmente modificando il traffico in transito). Un’ulteriore implicazione di questo aspetto è che il client perderà la possibilità di contattare direttamente il server in caso di connessioni crittografate, poiché sarà proprio il firewall a stabilire la connessione sicura al fine di analizzare il flusso di dati.

Circuit-level firewall

agisce come un application-firewall, impedendo una connessione diretta tra client e server, ma, a differenza di quest’ultimo, segmenta la connessione in due sotto-connessioni: una dal client al firewall e l’altra dal firewall al server. Lo scopo principale è quello di isolare gli host interni da quelli esterni, determinando quali connessioni consentire e quali interdire.

• Next-generation firewall, è una tipologia che integra le già citate funzionalità tipiche di un firewall, come filtraggio e monitoraggio, cui si aggiunge il supporto numerose altre che normalmente verrebbero gestite separatamente.

• Firewall UTM: questi sono dei veri e propri sistemi integrati di cybersicurezza e si differenziano dai next-generation non tanto per le intrinseche funzionalità quanto perché, a differenza di questi ultimi, rivolti esclusivamente alle aziende, ne esistono anche per utenti finali.

Considerate queste premesse, sarà opportuno approfondire il significato di servizio UTM al fine di comprendere come questo si integri nel sistema del firewall e scoprire quali notevoli vantaggi apporti.

Con la sigla UTM (Unified Threat Management) si indica genericamente un servizio di gestione unificata degli attacchi.
Nel concreto, si fa rifermento a un singolo supporto in grado di espletare contemporaneamente più task di sicurezza informatica.

Dato il progressivo aumento nella complessità e sofisticazione delle minacce, le soluzioni di cybersecurity devono agire in maniera sempre più coordinata e sincronizzata: ecco che le funzionalità offerte dal Firewall UTM sembrano rispondere proprio a questo tipo di esigenza.

Come accennato in precedenza, ad oggi i Firewall UTM sono in grado di implementare, oltre alle già citate funzionalità di filtraggio e monitoraggio, anche il supporto:

• ai NAT (Network Address Translation): la traduzione degli indirizzi di rete consente di modificare l’indirizzo IP dei pacchetti in transito in una comunicazione tra due o più nodi. Grazie a questo meccanismo è possibile sfruttare un unico indirizzo IP pubblico nascondendone decine e decine di privati;
• alle VPN (Virtual Private Network). Si tratta di un servizio pensato per connettere due nodi distinti costretti a passare per una rete informatica insicura. La VPN consente di applicare la crittografia, sia simmetrica o asimmetrica, impendendo l’intercettazione delle comunicazioni e la modifica delle informazioni da parte di potenziali hacker;
• alle policy QoS (Quality of Service) e traffic shaping: la qualità del servizio consta di serie di indicatori che aiutano a stabilire la bontà e le prestazioni generali di una rete, mentre il traffic shaping serve per ottimizzarne e garantirne performance e velocità;
• all’URL filltering: noto anche come filtro dei contenuti o filtro Web, impedisce agli utenti interni alla rete l’accesso a contenuti potenzialmente pericolosi;

a queste si aggiunge inoltre l’ausilio:

• alle abilità di IDS/IPS (Intrusion Detection/Prevention System)
• ai sistemi di autenticazione integrati con i domini aziendali
• all’integrazione con fonti di intelligence di terze parti per prevenire gli attacchi informatici.

Alcune delle criticità più ricorrenti nei tradizionali sistemi firewall che riscontrano la maggior parte responsabili IT riguardano:

• pessima visibilità sulle applicazioni e sui rischi della rete
• mancanza di fiducia sulle capacità di filtraggio delle minacce 0-day
• mancata risposta nel caso in cui venga rilevata una minaccia
• difficoltà nel raggiungimento degli obiettivi di rete per la SD-WAN (Software-Defined Wide Area Network), ossia quei software che permettono l’accesso al cloud, ai data center privati e alle applicazioni aziendali basate sul SaaS

Pertanto, ai task sopraelencati, sempre secondo Sophos, sarà necessario aggiungere:

• la capacità di Ispezione TLS 1.3, ossia il monitoraggio del traffico sotto cifratura, che oggi copre circa il 90% del traffico internet. Sarà necessario che supporti i più recenti standard di cifratura, integrando al contempo eccezioni intelligenti, per una maggiore selettività nel traffico da ispezionare
• protezione contro le minacce zero-day, ossia di tutte quelle tipologie di attacco finora sconosciute
• accelerazione delle applicazioni con FastPath: questa tecnica consente di discernere tra traffico dati considerato notoriamente attendibile e la sua controparte priva di tale affidabilità. In tal modo, verrà garantita un’ottimizzazione delle performance poiché l’ispezione sarà messa offload nel momento in cui i pacchetti di dati hanno provenienza nota e attendibile, mentre sarà riattivata per tutti gli altri.
• gestione della rete SD-WAN: includendo il routing automatizzato e resiliente  della SD-WAN, il firewall sarà in  grado di eliminare le ridondanze e i percorsi multipli nelle connessioni.

Alla luce di quanto illustrato finora, risulta intuitivo constatare come i vantaggi offerti da un Firewall UTM siano già insiti nella molteplicità di servizi che hosta.

A livello concettuale, però, si potrebbero aggiungere altre valide motivazioni all’adozione di questa tecnologia così innovativa, tra cui:

1. semplificazione nella gestione della sicurezza: l’interfaccia di gestione è unica, ma le funzionalità molteplici. In tal modo viene meno la necessità di competenze diversificate per il controllo di diverse applicazioni;
2. abbattimento dei costi di gestione: trattandosi di un unico software implementato su un solo hardware, sarà necessario l’impiego di un unico addetto specializzato;
3. protezione più efficace dei dati sensibili: essendo basato su più livelli di analisi, il Firewall UTM garantisce una più capillare protezione da potenziali attacchi
4. load balancing, che impedisce il sovraccarico della rete distribuendo il traffico tra più server
5. reporting immediato e multi-focus: potendo tranquillamente essere gestito attraverso un computer, la possibilità di accedere alle reportistiche di analisi sarà quanto mai avvantaggiata. Inoltre, integrando più tipologie di servizi, presenterà in un unico documento l’insieme dei dati per ognuno di essi

Se anche la tua azienda necessita di implementare soluzioni si cybersecurity all-in-one contattaci per una consulenza. Ascolteremo le tue esigenze e ti forniremo soluzioni su misura per il tuo business.

Onorato Informatica è un’azienda specializzata in cybersecurity da oltre dieci anni.

La nostra azienda ha sede centrale a Mantova e uffici a Parma, Milano e Los Angeles, certificata ISO 9001, ISO 27001 e azienda etica.