• Information Tecnology
  • Software didattici
  • Materiali didattici
  • Reti informatiche
  • Soluzioni dei problemi
Reti informatiche per la scuola - Prof.Roberto Bisceglia
 
   
 

Protezione dai tentativi di intrusione dall'esterno
I firewall

  

La stragrande maggioranza delle reti scolastiche è connessa ad Internet attraverso banda larga. Se ciò consente una maggior velocità e fruibilità dei contenuti di Internet, espone la rete alla possibilità che qualche malintenzionato possa accedervi "senza chiedere il permesso" per combinare qualche guaio, o semplicemente per utilizzare le vostre risorse per i suoi scopi.

La soluzione al problema è l'applicazione di un firewall che blocchi tutte le porte non utilizzate e filtri tutti i pacchetti provenienti dall'esterno, respingendo quelli non riconosciuti.

La soluzione firewall può essere software, utilizzando un computer nel quale sia installato un idoneo programma, oppure affidata ad un'apparecchiatura hardware dedicata.

Entrambe le soluzioni presentano vantaggi e svantaggi.

La soluzione software ha il vantaggio di essere ampiamente configurabile e, quindi, in grado di coprire esigenze più elevate con gradi di sicurezza commisurati.

Gli svantaggi sono quelli di impegnare una macchina per questo lavoro, la complessità della configurazione, ed il fatto che il software, a meno di non utilizzare piattaforme Linux, ha costi abbastanza elevati.

La soluzione hardware ha il vantaggio di avere costi molto più abbordabili, di essere facilmente configurabile attraverso delle interfacce web.

    Lo svantaggio è quello di non essere configurabile nei dettagli e, quindi, di essere meno affidabile.

C''e da dire, tuttavia, che negli ultimi tempi sono usciti prodotti a prezzi interessanti, con caratteristiche di vere appliance.

I firewall software

I firewall vengono classificati "stateless'' o  "stateful''.

I firewall stateless  bloccano o consentono una comunicazione soltanto sulla base delle caratteristiche di quest'ultima. In pratica i pacchetti sono bloccati in base a delle regole statiche (ad es. l'indirizzo sorgente o quello di destinazione, la porta utilizzata) e di ciò non viene tenuta memoria.
Il "rule set" di un firewall statico è definito in fase di configurazione ed è, di solito, molto semplice.

Per definizione, il packet filter è di tipo staleless.

I firewall stateful sono in grado di riconoscere le connessioni e le trasmissioni, e, ispezionandole, sono in grado di decidere il da farsi in base in base a molteplici parametri.
Possono implementare diverse funzioni
IP Security (IPsec)
come il tunneling o la crittazione. Del traffico mantengono  un log storico, con i dettagli relativi (indirizzi di origine e destinazione, numeri di porta, sequenze TCP, etc.) e con questo sono in gradi di aprire o chiudere dinamicamente delle porte per consentire o bloccare il traffico.

Stabilito il tipo di firewall da utilizzare, bisogna distinguere il tipo di piattaforma da dedicare allo scopo. Nel caso si tratti di una piattaforma Windows Server, la scelta non potrà che cadere su Isa Server 2004.

Isa Server 2004 (Internet Security and Acceleration Server)  è un potentissimo software con funzioni di proxy e firewall. E', senza dubbio, la soluzione ottimale per chi voglia dedicare una macchina alla condivisione e al controllo del traffico verso l'esterno.

Esempio di utilizzo per la protezione di server Web in una DMZ (Zona demilitarizzata) Esempio di utilizzo per il controllo degli accessi remoti

La macchina da dedicare allo scopo deve essere sufficientemente performante, in particolare per la quantità di memoria RAM e per la capacità e velocità del sistema dischi. Deve, ovviamente, essere dotata di due schede di rete, una per il lato WAN (verso Internet), una per il lato LAN.

L'installazione è abbastanza semplice e la configurazione guidata passo a passo. Alcuni modelli di rete permettono di velocizzare il lavoro, anche se, indubbiamente, non si tratta di una cosa di poco conto.

Maggiori informazioni su ISA Server 2004 possono essere trovate nel sito Microsoft ove è presente un'interessante Evaluation guide. Molto interessante anche l'ISA Server Community ed il sito Isaserver.org .

Il costo di una licenza MOLP Educational di ISA Server 2004 è di circa 500-550 euro.

Utilizzando una piattaforma Linux sono possibili soluzioni gratuite, anche se è necessario considerare che la configurazione del sistema, di norma, comporta tempi molto più lunghi e, quindi, costi umani più elevati.

Il firewall di riferimento del mondo Linux, dal kernel 2.4 in poi, è Iptables. Iptables si basa su una catena di regole concatenate fra loro che vanno ad agire sugli header IP dei pacchetti per verificarne la corrispondenza rispetto le regole indicate. A loro volta le catene sono contenute in tabelle (Filter, NAT, Mangle).

Iptables è disponibile gratuitamente nel sito iptables.org. Un'ottima guida all'installazione è reperibile in questo sito.

L'installazione, come la maggior parte delle applicazioni Linux, non è certo alla portata di chiunque e prevede la scrittura di lunghi file di configurazione.

Per questo, se avete ottime conoscenze di Linux e molto tempo a disposizione (magari adeguatamente retribuito dalla scuola), Iptables è la soluzione migliore.

I firewall hardware

Sono apparecchiature che si interpongono tra il mondo esterno e la rete locale. I modelli attuali sono tutti stateful packet inspection.

Il mercato offre diversi tipi di firewall hardware, da quelli più performanti e costosi (Cisco, Symantec, 3COM) a quelli a costi più contenuti (Digicom, Netgear, Zyxel) ma che sono in grado di garantire, ad un costo che non supera i 250 €, un buon livello di protezione ad una rete scolastica.

Della configurazione di un firewall hardware parliamo in questo articolo.


Sommario | Successiva
 

 
Aggiornamento: 18-Lug-2015 15:36
© - http://www.bisceglia.eu