NETTUNO – Network per l’Università ovunque Corso: Laurea a distanza in Ingegneria Informatica Insegnamento: Reti di Calcolatori II
Docenti: prof. Pier Luca Montessoro, prof. Mario Baldi Collaboratore alle attività di laboratorio: ing. Davide Pierattoni
VIDEOLEZIONE N° 18 – Firewall, proxy e DMZ DOMANDE DI RIEPILOGO
ARGOMENTI:
- Firewall e filtraggio del traffico - Proxy e application gateway - Servizi pubblici e DMZ
1. Che cos’è un firewall?
Un firewall è una combinazione di hardware e software che isola la rete interna di un’azienda dal resto di Internet. Effettua il controllo costante del traffico in entrata e in uscita dalla rete da proteggere, permettendo ad alcuni pacchetti di passare e bloccandone altri in base a specifiche regole di filtraggio imposte dall’amministratore di sistema. Il principale obiettivo è infatti rendere sicuro il collegamento della rete aziendale a Internet, lasciando passare solo i flussi “fidati”, ossia strettamente necessari ai servizi aziendali.
2. Come funzionano i filtri?
I filtri funzionano effettuando la lettura degli header IP, TCP e UDP di ogni pacchetto in transito attraverso il firewall e quindi applicando le regole di filtraggio, configurate come ACL (Access Control List). Queste ultime specificano se scartare o lasciar passare i pacchetti, e sono tipicamente basate su indirizzi IP di sorgente o destinazione, porte sorgente o destinazione TCP o UDP, tipo di messaggio ICMP e informazioni riguardanti il three-way handshake delle connessioni TCP (flag SYN e ACK nell’header TCP).
Quest’ultima regola è molto utile per lasciare che i client interni possano collegarsi a server esterni, ma evitare che client esterni si colleghino a server interni alla rete.
3. Quali sono le funzionalità di un application gateway?
Un application gateway collega due segmenti di rete a livello di applicazione. Di norma il controllo da esso operato riguarda il traffico uscente dalla rete protetta, in quanto fa da intermediario (o proxy) al flusso di dati tra i client interni e i server esterni. I client della rete interna accedono ai servizi su Internet soltanto attraverso il gateway, che quindi nasconde al server esterno l’origine reale delle connessioni (cioé il client della rete interna). Un application gateway può anche autorizzare o bloccare gli utenti in base a specifiche policy di accesso.
4. Quando è opportuno realizzare una DMZ?
Quando l’azienda deve rendere disponibili a utenti esterni (clienti, fornitori, utenti mobili ...) alcuni servizi che risiedono su calcolatori della propria rete aziendale. Una DMZ (zona demilitarizzata) permette infatti di separare i server pubblicamente accessibili dai server e dai calcolatori che contengono informazioni di natura strettamente privata. In tale configurazione i server pubblici vengono collocati nella DMZ e sono detti bastion host, perché sono gli unici visibili (e attaccabili) dalla rete esterna. I servizi privati e gli host della rete interna sono invece protetti da due firewall.
