ScaricaProva gratuita

Che cos'è un firewall?

Il firewall è una linea di difesa per qualsiasi rete o dispositivo. Di solito è la prima. Il firewall monitora il traffico in entrata e in uscita e controlla ciò che può essere trasmesso e ciò che viene bloccato in base a regole di sicurezza predeterminate. Un firewall viene solitamente utilizzato per creare una barriera tra una rete fidata e una non fidata. L'esempio più comune di un firewall è quello di impedire l'accesso non autorizzato da Internet, ma esistono molte altre applicazioni per un firewall.

I firewall si dividono in software e hardware. Entrambi controllano il traffico, ma quelli software utilizzano le risorse dell'host su cui sono installati, mentre i firewall hardware hanno le proprie risorse dedicate. Questa è la principale distinzione tra i tipi di firewall, oltre alla quale vengono classificati in base al loro funzionamento.

Un firewall con filtro dei pacchetti ispeziona i pacchetti trasferiti tra i computer e li consente o li blocca in base a regole predefinite. I firewall stateful possono anche tenere traccia dello stato delle connessioni di rete, come flussi TCP, datagrammi UDP e messaggi ICMP. Possono agire su un'intera connessione, non solo pacchetto per pacchetto. I firewall applicativi operano a livello di applicazione e sono in grado di distinguere le applicazioni l'una dall'altra e di consentire o bloccare il traffico da o verso di esse. I firewall con ispezione profonda dei pacchetti sono sistemi avanzati di filtraggio dei pacchetti, in grado di ispezionare il contenuto effettivo di ciascun pacchetto e di filtrarlo, se desiderato.

Indipendentemente dalla tecnologia che sta alla base di un firewall, tutti sono basati su regole. Le regole possono essere applicate a elementi grandi e piccoli, ad esempio a tutti i pacchetti in arrivo fino a un particolare tipo di pacchetto che cerca di accedere a un singolo dispositivo, su una porta specifica. Il controllo granulare fornito dalla maggior parte dei firewall è piuttosto elevato. Tenere traccia del funzionamento di un firewall è il punto centrale del monitoraggio di un firewall.

Che cos'è il monitoraggio del firewall?

Il monitoraggio del firewall, come si può immaginare, viene effettuato con un software di monitoraggio del firewall. Può trattarsi di uno strumento indipendente, ma in pratica è comune avere uno strumento di monitoraggio della rete che può controllare lo stato dei firewall insieme a una pletora di controlli su altre parti dell'infrastruttura. I firewall non sono particolarmente complessi da monitorare e quindi il compito di monitorare un firewall è solo uno dei tanti che una soluzione di monitoraggio può svolgere.

In realtà, i firewall sono vittime dell'idea errata che, una volta impostati, non sia necessario il monitoraggio. Come per qualsiasi altro elemento della rete, tutto ciò che non viene monitorato può in seguito causare problemi non rilevati. I firewall non fanno eccezione. Pertanto, il monitoraggio dei firewall deve far parte di un buon sistema di monitoraggio della rete. Come vedremo tra poco, ci sono diverse buone ragioni per monitorare un firewall.

Servizi di monitoraggio di un firewall in Checkmk

Perché è importante il monitoraggio del firewall?

L'efficacia di un firewall dipende in larga misura dall'aggiornamento delle sue regole. Se viene installata una nuova applicazione senza una regola che ne controlli il traffico, quando necessario, l'applicazione potrebbe non funzionare affatto, poiché il suo traffico viene bloccato per impostazione predefinita. Ogni volta che viene collegato un nuovo host, può essere necessario aggiornare le regole del firewall per includerlo o escluderlo, a seconda del suo ruolo nella rete. Un nuovo utente avrà una nuova serie di applicazioni e servizi a cui dovrà accedere e il firewall potrebbe bloccarlo.

È chiaro quindi che il primo motivo per cui è importante il monitoraggio del firewall è evitare i potenziali problemi che possono essere causati da una serie di regole obsolete. Il monitoraggio del firewall consente di verificare e identificare tali problemi. Le regole possono quindi essere modificate, se necessario, per riflettere i cambiamenti nell'infrastruttura senza causare interruzioni del servizio.

Un secondo fattore che spiega l'importanza del monitoraggio di un firewall è la limitazione dell'errore umano. Una grande percentuale di fughe di dati è dovuta a errori involontari dei dipendenti. È chiaro che gli errori non possono essere eliminati al 100%, ma possono essere individuati grazie al monitoraggio. Le modalità con cui gli hacker rubano le credenziali includono i tipici trucchi del malware e del phishing, che generano entrambi traffico. Un monitor del firewall può rilevare questo traffico nel momento in cui si verifica e notificarlo agli amministratori di rete.

Infine, avere chiare le politiche del firewall aiuta a mantenere il set di regole ottimale. Tuttavia, se non viene monitorato, è difficile sapere con certezza se questi criteri vengono applicati correttamente. In questo caso il monitoraggio del firewall svolge il ruolo di osservatore, controllando che le regole siano attive e che tutte le porte abbiano lo stato corretto.

Grafico che mostra i pacchetti ip4 bloccati

Cosa controllare quando si monitora un firewall

Il monitoraggio di un firewall riguarda soprattutto il controllo delle sue regole. Il cuore di un firewall è costituito dalle sue regole e assicurarsi che queste non entrino in conflitto con i vari processi aziendali o con un'altra regola del firewall è il controllo principale da effettuare per una corretta impostazione. Le regole non devono sovrascriversi l'una con l'altra, poiché ciò provoca ogni sorta di comportamento casuale che è difficile da monitorare in seguito. Il software di monitoraggio del firewall è in grado di verificare le regole non appena vengono implementate.

Non solo le regole non devono essere in conflitto con altre regole, ma non devono nemmeno essere mantenute quelle non più necessarie. Questo può essere un rischio per la sicurezza, soprattutto perché può portare a lasciare aperte le porte di una regola molto vecchia, una situazione che potrebbe non essere rilevata dagli amministratori. Senza un adeguato monitoraggio del firewall, questo tipo di rilevamento non è facile. Verificare che tutte le regole siano effettivamente applicate correttamente e che siano richieste dai criteri in uso è un compito importante per il servizio di monitoraggio del firewall.

Il monitoraggio dei log del firewall è la pratica di monitorare i log generati dai firewall. Questi forniscono molte informazioni sul funzionamento del firewall, su cosa viene bloccato e se le regole non vengono attivate. Oltre all'utilità di individuare le regole obsolete, la consultazione dei log può essere utile in diverse altre situazioni.

Ad esempio, sapere quali regole vengono attivate più spesso può non solo informare gli amministratori delle tendenze del traffico e dei suoi cambiamenti, ma anche consentire loro di rilevare molti comportamenti insoliti. Una porta del firewall che non è mai stata utilizzata e che improvvisamente diventa molto attiva, può essere motivo di trattare questo nuovo traffico come sospetto. Allo stesso modo, nei registri del firewall si possono trovare anche dei "falsi positivi". Si tratta di fonti di traffico che interagiscono con il firewall, ma che non dovrebbero farlo.
Il monitoraggio dei log del firewall è supportato dalla maggior parte dei sistemi di monitoraggio del firewall. Se non è supportato, è buona norma controllare i log manualmente.

Quali metriche sono rilevanti per il monitoraggio dei firewall?

Gli strumenti di monitoraggio dei firewall non si limitano a controllare le regole, ma raccolgono anche una serie di metriche che aiutano gli amministratori a capire come si comporta il firewall. In particolare, i parametri che informano su come si muove il traffico su una rete rientrano normalmente nei compiti dei monitor del firewall. Questi parametri includono l'origine e la destinazione del traffico, la larghezza di banda utilizzata, le sessioni attive, le porte utilizzate e la loro corrispondenza con le regole del firewall.

Le porte sono particolarmente importanti. Sono il cuore delle regole del firewall e quindi la principale metrica che indica se una regola viene applicata o meno. Per "porte" non intendiamo solo quelle TCP/UDP, ma anche le porte fisiche di un firewall hardware. Questa attività è complementare al monitoraggio delle porte, che si occupa solo delle porte.

Facendo corrispondere le sessioni attive con le relative porte, è possibile identificare il traffico che sta passando ma che in realtà non dovrebbe essere consentito. Questi dati possono richiedere un aggiornamento delle regole del firewall. Nel caso opposto, il traffico bloccato su una porta può essere un segnale per l'amministratore che questo traffico dovrebbe essere consentito. Una volta che il monitoraggio del firewall è attivo, vengono attivate notifiche per entrambi i casi e il team responsabile può agire di conseguenza.

Un'altra metrica importante da raccogliere è semplicemente lo stato delle regole del firewall in un determinato momento. Salvandolo, il servizio di monitoraggio del firewall può notificare eventuali modifiche. La maggior parte delle modifiche sarà di routine, ma occasionalmente un membro del team può modificare le regole del firewall senza informare gli altri membri. Sapere cosa è stato modificato e perché può identificare rapidamente la persona responsabile.

Grafici del servizio di connessione TCP in Checkmk

Best practice per il monitoraggio dei firewall

I firewall non sono tutti uguali. In tutti i sistemi operativi vengono implementate diverse tecnologie di firewall. Il monitoraggio dei firewall Linux non funziona allo stesso modo di quello dei firewall Windows. Pertanto, assicuratevi di monitorare i firewall in base al loro funzionamento. Un controllo generico delle porte e del traffico che le attraversa non è sufficiente. È importante approfondire le differenze tra il monitoraggio dei firewall Linux e Windows quando si considera un'implementazione del monitoraggio dei firewall. Questo argomento va oltre lo scopo di questo articolo, ma è importante menzionarlo come best practice per il monitoraggio dei firewall.

Indipendentemente dal fatto che si utilizzi un firewall basato su Linux o su Windows, il software del firewall deve essere aggiornato. Lo strumento di monitoraggio scelto dovrebbe essere in grado di segnalare una versione obsoleta. Per prevenire qualsiasi rischio e garantire che il firewall funzioni al massimo delle sue potenzialità, assicuratevi che il suo software sia regolarmente aggiornato.

Il monitoraggio del firewall non è un processo che si svolge in modo continuo e che, una volta implementato e avviato, può essere dimenticato.

È importante condurre regolarmente controlli di sicurezza del firewall. Questi hanno lo scopo di verificare se le regole del firewall sono conformi alle politiche di sicurezza e ai requisiti di conformità dell'azienda. Questo è più facile con un adeguato monitoraggio del firewall, ma in ogni caso deve essere fatto di tanto in tanto.

Il monitoraggio del firewall è in grado di rilevare quando una regola nuova o modificata apre porte indesiderate da qualche parte nella rete, ma le conseguenze di ciò sono a tua discrezione. Invece di applicare le modifiche alle regole in produzione, è meglio farlo in un ambiente di staging/testing. Monitorate il firewall anche in questo caso, prima di passare le modifiche alla produzione. Anche pochi minuti di una regola del firewall non testata possono rappresentare un rischio per la sicurezza troppo grande per essere accettato dalla maggior parte delle aziende.

Come scegliere uno strumento di monitoraggio del firewall?

La scelta del giusto software di monitoraggio dei firewall dipende principalmente dal supporto disponibile. I firewall sono sia hardware che software e uno strumento per il loro monitoraggio deve assolutamente supportare quelli effettivamente presenti nella rete. I firewall hardware sono dispositivi specifici che possono essere supportati o meno dalla maggior parte degli strumenti di monitoraggio dei firewall. In caso contrario, assicuratevi di poterli monitorare tramite SNMP, come ultima risorsa.

Per firewall software si intendono quelli forniti con Linux, altri sistemi operativi simili a Unix o Windows. Il monitoraggio dei firewall Windows ha i suoi requisiti, che differiscono da quelli di Linux, Solaris o AIX. In questi sistemi esistono anche diversi tipi di firewall e un buon strumento di monitoraggio firewall deve essere in grado di monitorarli tutti. Il monitoraggio del firewall di Windows implica almeno il monitoraggio del firewall Windows Defender, fornito con Windows stesso. Esistono molte alternative proprietarie e open-source, con modalità proprie di impostazione delle regole e di blocco del traffico.

Il monitoraggio delle macchine virtuali implica il controllo anche dei loro firewall. Nella maggior parte degli ambienti sono presenti macchine virtuali, che servono per una serie di scopi e sono ovviamente integrate nella rete in cui vengono eseguite. Il monitoraggio del firewall di una macchina virtuale è quindi un'arma importante da avere nel proprio arsenale.

Allo stesso modo, i servizi cloud hanno le loro reti e i relativi firewall cloud. Questi sono una parte vitale delle infrastrutture moderne e, logicamente, devono essere monitorati dallo strumento di monitoraggio firewall scelto.

Una caratteristica importante, che non migliora il monitoraggio vero e proprio ma che semplifica la vita degli amministratori, è un'interfaccia visiva che consenta di vedere immediatamente lo stato dei firewall. Il modo migliore per farlo è quello di avere una dashboard dedicata per controllare ogni firewall e quindi poter vedere a colpo d'occhio se c'è qualcosa che non va o che non va, in pratica. Il monitoraggio dettagliato dei registri del firewall e il monitoraggio delle regole del firewall devono essere integrati nella dashboard di monitoraggio, in modo da poterli gestire con facilità.

FAQ

Che cos'è il monitoraggio dei log del firewall?

Per monitoraggio dei log del firewall si intende il controllo dei log prodotti da un firewall. Sia i firewall software che quelli hardware producono normalmente dei log, che contengono una grande quantità di informazioni sul funzionamento del firewall. Nel monitoraggio dei firewall, l'analisi di tali log è un passo importante per ottenere una visione più approfondita dei firewall implementati.

Che cos'è il monitoraggio del firewall con Nagios?

Il monitoraggio del firewall con Nagios è il monitoraggio di un firewall utilizzando Nagios, l'applicazione di monitoraggio della rete su cui si è originariamente basato Checkmk. Con Nagios è possibile monitorare sia i firewall software (come il firewall di Windows) che quelli hardware.

Che cos'è il monitoraggio del firewall Cisco?

Il monitoraggio dei firewall Cisco si riferisce al controllo dello stato e alla raccolta delle metriche delle serie più diffuse di firewall Cisco, come Cisco ASA. Il monitoraggio attraverso SNMP è sempre un'opzione, ma il software di monitoraggio dei firewall lo fa anche attraverso l'uso di strumenti personalizzati, come ad esempio Checkmk con il suo plug-in cisco_asa_connections.

Guarda tu stesso

Scopri Checkmk adesso.

Scarica Checkmk Raw Monitoraggio gratuito e open source
Checkmk Demo Prova Checkmk senza installazione

Partecipa alla Checkmk Conference #11, l'evento ibrido della comunità del monitoraggio che si terrà a Monaco di Baviera dal 20 al 22 maggio - per scoprire le nuove funzionalità di Checkmk, best practice e la nostra roadmap.

Registrati adesso