Next Previous Contents

3. Architettura dei firewall

Quando esigenze di sicurezza diventano fondamentali, allora nella progettazione di un firewall si prendono in considerazione diverse combinazioni tra screening router firewall Proxy e Bastion host.Le architetture principali di queste combinazioni sono principalmente tre, che vanno sotto il nome di: dual homed hosts, screening host firewall e screening subnet firewall.

3.1 Dual homed host

Il firewall Dual homed hosts può essere paragonato ad un host con due schede di rete, una che si collega alla alla rete interna, un' altra invece che si collega alla rete esterna, unendo cosi due segmenti di reti diverse fra loro; questo tipo di firewall è principalmente un Proxy a livello di applicazione oppure un Proxy a livello di circuiti.Il principale difetto che presenta questo tipo di configurazione è la necessità assoluta della disabilitazione del routing; se infatti il routing non verrebe disabilitato, il controllo e quindi filtraggio dei pacchetti che viene fatto a livello applicazione verrebe scavalcato, in quanto il pacchetto per essere instradato arriverebbe solo al livello 3 (livello IP) dello stack TCP/IP.Disabilitando la funzione di routing, il Dual Homed host separa fisicamente i due segmenti di rete pur consentendo, ad utenti su reti distinte, di utilizzare dati condivisi dai segmenti distinti, senza che le due reti effettuino veramente lo scambio diretto di pacchetti. La funzione principale del dual homed host che è quella di instradare pacchetti a livello applicazione, deve essere affiancata dal divieto di accesso diretto alla dual homed host da qualunque macchina appartenente ai segmenti di rete. L'attacco verso un firewall con architettura Dual homed host, può lasciare all'hacker una serie di opportunità; infatti se l'hacker ha un'account verso la rete locale, tutta la rete locale può essere soggetta a qualsiasi tipo di attcco; il punto più debole di questa configurazione è la modalità di guasto del firewall.Se il firewall è distrutto è possibile che un hacker riscriva l'instradamento esponendo tutte le macchine della rete privata a un attacco.Per esempio abilitando il routing a livello IP dei pacchetti, a questo punto l'idea fondamentale di questa architettura cade.

3.2 Firewall screened host

Questo tipo di architettura prevede la combinazione di 2 dispositivi: il firewall Proxy o un bastian host ed un screening router, nella seguente combinazione


     rete_interna -> firewall -> screening router -> internet o intranet

Osserviamo da subito che il collegamento a internet è assicurato dallo screening router che filtra sia in entrata che in uscita dalla rete i pacchetti che riceve, inoltre il firewall Proxy o il bastian host è protetto dalla rete internet dal router visto che non si collega direttamente, il Proxy o il Bastian host rappresenta l'unica macchina visibile da internet per la rete privata.Per quanto riguarda la politica di sicurezza di questa architettura possiamo dire che è determinata dal software che viene eseguito sul bastian host, se un hacker ottiene un login sulla macchina avrà una vasta possibilità di attacchi verso la rete interna. l'accesso a rete privata in modo diretto da parte di un hacker con questa architettura è veramente difficile, infatti l'hacker dovrebbe cambiare l'instradamento su tre reti senza chiudere la via di comunicazione e stando attento a non provocare nessun allarme; inoltre la difficoltà di questo attacco può essere aumentata disabilitando l'accesso ai screened routed dalla rete esterna, con questa ultima specifica infatti l'hacker dovrebbe penetrare prima sul Bastion Host, poi su un host della rete privata e poi finalmente sullo screening router.

3.3 Firewall screened subnet o sottorete schermante

La terza architettura è la piu sicura di tutte le altre infatti, il firewall Proxy viene protetto nelle due direzioni da due screening router, la sua configurazione è la seguente:


      rete_interna -> screening router -> firewall -> screening router -> internet o intranet

il primo screening router controlla il traffico della rete locale e il secondo monitorizza e controlla il traffico verso internet, in questo modo viene protetto il firewall Proxy sia dagli attacchi esterni che da quelli interni, quest'ultimi troppo spesso trascurati nelle politiche di sicurezza.Si viene così a delineare una sottorete formata da screening router e bastian host su cui ogni segmento di rete può accedervi, ma in cui non è ammesso nessun collegamento diretto tra la rete interna e quella esterna.L'hacker dovrebbe per poter accedere alla rete interna innanzitutto riconfigurare la screened subnet e successivamente quella interna; tutto questo sotto il controllo dei Bastian Host.


Next Previous Contents