Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Un firewall è un dispositivo collocato tra due o più reti attraverso cui passa
tutto il traffico; in questo modo si può controllare il traffico e lasciare passare
solo ciò che soddisfa determinati criteri, impostando dei filtri.
Nei firewall a filtro di pacchetti i filtri sono basati su tabelle che elencano:
● le sorgenti e le destinazioni permesse e quelle vietate; indirizzi IP;
● le porte (cioè l’applicazione o il protocollo); per esempio si può stabilire quali
computer della rete locale possono accedere a Internet, oppure bloccare
l’ingresso nella intranet a FTP o Telnet bloccando la porta relativa; molti filtri
bloccano il traffico UDP che potrebbe fare qualsiasi cosa.
Proxy Server
Un proxy server è un programma che si interpone tra un client e il server di
un servizio client/server inoltrando le richieste e le risposte dall’uno all’altro.
I proxy a livello di circuito sono più flessibili perché non sono specifici per un
singolo protocollo, ma funzionano per qualsiasi servizio; si limitano ad
effettuare un tunnel tra client e server. I proxy a livello di circuito sono anche
semplici da implementare.
Proxy HTTP
L’utente usa normalmente il browser per visitare pagine Web su Internet; le
richieste vengono effettuate tramite il server proxy, che fa da tramite.
Il proxy HTTP può essere usato per:
● connettività: permette a una rete privata di accedere all’esterno, o meglio a
un client e un server che appartengono a due reti diverse di stabilire una
connessione anche quando non è disponibile un instradamento diretto
(routing) tra le reti; per offrire connettività necessita di un computer con due
interfacce, una verso la rete interna con indirizzi privati e una verso Internet; in
questo modo permette ai client della rete privata di avere accesso all’esterno
attraverso il proxy stesso. L’accesso si limita ai protocolli gestiti dal proxy
(usando un proxy di applicazione spesso si tratta solo di HTTP e FTP).
● caching: memorizza i risultati delle richieste in modo da migliorare le
prestazioni; offre due vantaggi principali: l’accesso rapido alle risorse già
nella cache e la riduzione del traffico nella rete che precede il proxy stesso;
● controllo: può applicare regole per determinare quali richieste inoltrare o
rifiutare (per esempio a quali siti è permesso o vietato accedere),
comportandosi quindi come firewall a livello di applicazione e limitare
l’ampiezza di banda usata dai client;
● monitoraggio: permette di tenere traccia delle operazioni effettuate da una
stazione, identificata dal suo indirizzo IP, o da un utente, identificato
dall’account con cui si è autenticato; Il proxy usato per offrire connettività ad
Internet può richiedere obbligatoriamente l’autenticazione;
● sicurezza: nasconde lo schema di indirizzi della rete interna e quindi rende
più difficoltoso l’accesso agli intrusi; sulla rete locale si possono usare gli
indirizzi presi dagli intervalli di indirizzi privati; le reti esterne possono vedere
solo l’indirizzo IP del proxy; tutte le conversioni fra rete interna ed esterna
vengono gestite dal proxy;
● privacy: maschera gli indirizzi IP del client; come indirizzo del client viene
visto solo l’indirizzo del proxy; il proxy per accedere tramite il suo indirizzo usa
tecniche di NAT del tipo SNAT (IP masquerading).
Per esempio di solito si crea una DMZ per i server pubblici a cui si deve
accedere sia dalla rete locale che da Internet.
I computer sulla DMZ non possono accedere al resto della rete locale; in
questo modo i server sulla DMZ possono fornire servizi anche all’esterno
senza compromettere la sicurezza della rete interna in caso di attacco.
Se i server pubblici fossero all’interno della rete locale invece che nella DMZ,
la loro compromissione consentirebbe l’accesso agli altri computer della LAN.
Una DMZ può essere creata con un firewall a tre connessioni (three-legged
firewall) a cui sono collegate la rete locale, il router Internet e la DMZ.