Discussione:Firewall
sarei per eliminare la sezione che adesso si chiama "un esempio di firewall filtrante":
- è un howto specifico per linux (arriva a richiamare le opzioni di iptables), dubito che sia al suo posto in una enciclopedia
- contiene inesattezze gratuite (non è vero che un firewall non può loggare i pacchetti in transito, è solo pesante). con iptables: -j LOG
- contiene considerazioni a favore di linux che sono al limite dell'NPOV (anche se li condivido come opinioni personali :)
- è scritto in modo molto colloquiale
opinioni?
hce 13:39, Ago 24, 2004 (UTC)
Non me ne intendo di Linux (e di firewall a livello utente), ma mi sembra che prima di cancellare una parte così ampia dell'articolo bisognerebbe essere sicuri che sia OT. Piuttosto non è possibile eliminare le frasi NNPOV e correggere gli errori (ad es. non mi sembra sia più vero che win non possiede un firewall interno: XP ne ha uno, anche se dicono non proprio perfetto)? Sicuramente lo stile non è il massimo e richiede molti aggiustamenti "wikifivanti" (e magari l'eliminazione di intere frasi), ma magari delle linee guida per capire quali siano i criteri per configurare un firewall (qualsiasi) ci starebbero bene. Alla fine penso che ne dovrebbe rimanere non più della metà. Sentiamo cosa ne pensano altri (+cat.) Marcok 14:36, Ago 24, 2004 (UTC)
piuttosto che emendare questa parte, sarebbe più facile riscriverla :((
si potrebbe spostarla in una voce a parte, ma quello che mi lascia perplesso è l'utilità di un tutorial su un argomento soggetto ad evoluzione tecnologica in un'opera che in teoria dovrebbe essere durevole
forse più utile un link esterno ad un buon sito sull'argomento, ad esempio http://www.netfilter.org/documentation/HOWTO/it/packet-filtering-HOWTO-11.html
http://it.tldp.org/HOWTO/Security-HOWTO/index.html, e in particolare: http://it.tldp.org/HOWTO/Security-HOWTO/sicurezza-di-rete.html#AEN1068
un pezzetto di esempio, ma più a basso livello sulla configurazione dei firewall, l'ho messo nella voce ACL
15:07, Ago 24, 2004 (UTC)
Sposto di seguito la sezione "incriminata". Marcok 01:29, Nov 13, 2004 (UTC)
un esempio di firewall filtrante[modifica wikitesto]
è il migliore programma calcisti Un firewall filtrante, ha la funzione appunto di “filtrare" tutti i pacchetti, come appena illustrato, con una limitazione: non tiene traccia dei log, ovvero non registra l’attività di nessuno dei suoi sottoposti. Ai fini pratici, significa che, da parte dell’amministratore di sistema, non si avrà modo di intercettare eventuali bachi di configurazione, se non con delle prove sul campo, mentre per l’utente finale, si risolverà più o meno come segue: quando aprirà un browser per visualizzare una pagina web, farà partire una richiesta dal suo computer (la pagina web), verso Internet, da Internet, a sua volta, viene inviata la risposta (la pagina web che vuole visualizzare), in comodi pacchetti, ovvero: la pagina web richiesta, viene divisa in tanti piccoli pezzi, questi vengono segnati e trasmessi uno alla volta, questi pacchetti saranno analizzati dal firewall che deciderà in base alla destinazione e alla provenienza, se farli passare o bloccarli.
Il sistema “pacchettizzato", consente di raggiungere velocità nettamente superiori, in quanto, qualora un pacchetto non dovesse raggiungere la destinazione, sarebbe reinviato da capo, lui soltanto, non tutto il plico.
I pacchetti possono dunque essere di diverso tipo, visto che i protocolli sono diversi (il tcp/ip è in realtà una souite di protocolli e non uno soltanto): si pensi ad esempio al TCP, all'ICMP e all'UDP, oltre a tutte le porte verso i quali sono diretti.
Il firewall lascia passare soltanto i pacchetti richiesti o quelli autorizzati, o meglio, dovrebbe, se lo settate a puntino.
In Windows, non si hanno dei firewall “incorporati”, si possono tuttavia acquistare diversi “pacchetti” che ne contengono alcune versioni. La stessa Microsoft distribuisce un suo firewall, ovviamente a pagamento.
La struttura di un buon firewall, vorrebbe un computer con il solo sistema operativo ed il programma per il filtraggio dei pacchetti (il firewall), sistemato tra una linea esterna e la rete aziendale, di modo da porsi come scudo per gli attacchi esterni.
Questa struttura consente infatti ad un aggressore, il solo accesso al firewall stesso, impedendogli una corsa sfrenata verso il suo vero obiettivo.
Con Linux si hanno diversi sistemi per la protezione di una rete aziendale e, ad oggi, un firewall realizzato con tecnologia Linux (o *BSD) è assolutamente preferibile per diversi motivi:
tutto il software è assolutamente gratuito, dunque si abbatte il costo di acquisto delle licenze
si hanno due diversi tipi di protezione da firewall - ipchains o iptable (nuova edizione, se vogliamo, del passato ipchains) al livello stesso del kernel, i tcp_wrappers a livello applicativo (rappresentano un ulteriore filtraggio dei pacchetti in base a chi li spedisce o chi li riceve)
si ha la possibilità di implementare con un semplice applicativo, la funzione di masquerading, ovvero, nascondere a possibili aggressori, gli indirizzi ip privati della vostra rete. (in genere questo può essere realizzato anche attraverso un router, avendo a disposizione degli ip dinamici, il cui costo è sempre da tener presente)
non si necessita di macchine costose, basterà un vecchio 486 con 500 MB di hard disk e 16 MB di ram.
Avremo dunque un computer con due schede di rete, di cui una riceve informazioni da Internet, mentre l’altra le trasmette dalla rete interna. Ognuna delle due schede avrà un indirizzo ip statico, di modo tale che si possa consentire l’accesso ad un possibile server web (re-indirizzando le richieste che giungono verso la porta 80 o 8080) ed allo stesso tempo, si possa far uscire tutte le richieste che vengono dalla rete interna, come se fosse il firewall stesso a generarle, ovvero, come se - per assurdo - 2 persone usassero lo stesso pc, ricevendo posta e leggendo articoli in Internet.
La protezione a livello del kernel è ovviamente la più sicura, tuttavia necessita di un ottima conoscenza dello strumento che si sta usando.
Poniamo per assurdo di voler negare l’accesso agli indirizzi privati della rete amministrativa, eccetto per il computer che emette fatture, esso sarà a sua volta collegato con un pc che dalla nostra stanza fornirà indicazioni sui clienti. Qualora la regola venisse indicata nel seguente ordine:
nega accesso a tutti coloro che hanno indirizzo compreso tra 192.168.0.1 e 192.168.0.255
e poi inserissimo una seconda regola per dare accesso al pc amministrativo che emette fatture, con una regola del tipo
consenti l’accesso alla porta TCP ...... dall’indirizzo 192.168.0.15
la seconda regola verrà scartata, in quanto soppiantata dalla prima!
in poche parole, il programma viene letto in ordine e, quando una regola aggiunta successivamente, contrasta con una precedente, viene ignorata.
Ecco dunque che si deve conoscere a fondo il proprio lavoro per poter lavorare bene.
Le regole di ipchains ed iptables sono identiche ed ovviamente lo è anche la sintassi. Per chiarire meglio andiamo ad analizzare la sintassi delle regole:
iptables - viene indicato sempre ovviamente, per indicare il programma
i comandi di seguito vengono sempre indicati con il - avanti, non per impaginazione, ma perché dovranno essere così indicati all’atto della specifica della regola.
-A - sta per Append, ovvero aggiungi la regola alla precedenti
-D - sta per Delete, ovvero cancella la regola che andrete ad indicare di seguito
-L - richiede la lista delle regole elencate
-F - Flush, ovvero cancella tutte le regole una ad una
i parametri
-p - protocollo, con questo parametro, potrete indicare quale protocollo bloccare, per quali macchine o per quali indirizzi ip
-s - source, sorgente, da quale indirizzo di provenienza si deve rifiutare, bloccare o lasciar passare una data cosa
-i - interface, interfaccia in ingresso, attraverso cui devono passare o meno determinate cose. Questo torna molto utile, se come dicevamo, potete usare più schede di rete
-o - output, interfaccia in uscita, attraverso la quale si devono operare le regole di cui sopra.
Come si vede dunque, è sufficientemente semplice configurare delle regole per la protezione aziendale, pur se da sole non bastano.
Ricapitolando, dunque, qualora decideste di adottare un firewall di questo tipo (filtrante) è necessario, per avere una discreta protezione, seguire alcuni passi di base:
analizzare a priori quali siano le regole principali, che maggiormente si addicono all’azienda si cui siamo parte;
riassumere le regole, in un numero abbastanza basso, in modo tale che, se si dovesse porre la necessità di riscriverle, non dovremo sacrificare un lungo lavoro;
ordinare le regole in modo da non creare confusione e da rendere il firewall pienamente funzionante;
organizzare un Pc con il solo kernel Linux ed una interfaccia testuale (senza dunque installare X o altre utility che non avranno scopo sul firewall)
installare e configurare due schede di rete, una in ingresso ed una in uscita, ricordando bene che sbagliando interfaccia rischieremmo di tagliare fuori la nostra rete;
strutturare una rete di Pc (anche mista, con Linux, *BSD, Mac ecc...) in modo tale che possano navigare in Internet solo attraverso il nostro firewall;
strutturare il masquerading, di modo che all’esterno non sia visibile la nostra rete in alcun modo (l’unica macchina visibile sarà il firewall)
Ben chiaro, non stiamo enunciando regole universali, tuttavia, una buona rete, viene realizzata “generalmente” con una simile configurazione.
Molte castronerie[modifica wikitesto]
Mi sono permesso di editare alcune parti dell'articolo. Lavoro da 10 anni nel campo della sicurezza informatica e raramente ho visto una definizione cosi' poco attinente alla realta' e soprattutto non aggiornata alle nuove tecnologie. Perdonatemi se non vi ho consultato prima di farlo ma gli errori erano veramente troppi e gravi. Un saluto --Mrcooldj 16:43, Set 29, 2005 (CEST)
Firewall Hardware o Software[modifica wikitesto]
Il firewall è sempre e comunque un software, tant'è che il livello IP dove si regolano le impostazioni del firewall è pura invenzione software nello stack ISO/OSI l'unica cosa che si avvicina all'hardware è il livello fisico, infatti gli altri 6 livelli si implementano col software. In effetti il firewalling non è altro che l'aggiunta nella iptable di righe che fanno si che i pacchetti instradati verso un determinato indirizzo:porta vengano reinstradati verso una rotta inesistente. Quando si parla di firewall hardware non è altro che un software come iptables trasformato in firmware e messo sul dipositivo che ci fa da firewall e/o router. --Lino 12:59, 18 dic 2007 (CET)
Miglioramenti e utilizzo delle fonti[modifica wikitesto]
[@ Salvymat] Grazie per i miglioramenti alla voce! L'unica cosa, l'utilizzo dei tag ref dalla sezione "Definizione e funzionalità" in avanti non è proprio ottimale. Pingo anche l'utente [@ Baruneju] che ha seguito il progetto di cui leggo fai parte. Giustissimo citare le fonti, ma queste sfilze di ref confecutivi, anche fino a otto, più volte nella stessa frase non si fanno di solito, a meno che il riferimento non sia a sostegno di una affermazione al centro di controversie. Io mi limiterei a inseire i ref al fondo delle frasi e magari non più di un paio, non otto. Il ref può anche stare dopo un un certo numero di frasi, o proprio alla fine del paragrafo, se tutto il paragrafo ha le stesse fonti. Puoi prendere come esempio le voci in vetrina in questa categoria: Categoria:Voci in vetrina su it.wiki, per vedere come usare al meglio i riferimenti. Se poi volessi usare delle fonti cartacee allora l'accoppiata libro in Bibliografia (con {{Cita libro}} con parametro "cid") + template {{Cita}} sarebbe il massimo. --Rotpunkt (msg) 15:27, 8 lug 2016 (CEST)
Collegamenti esterni modificati[modifica wikitesto]
Gentili utenti,
ho appena modificato 1 collegamento esterno sulla pagina Firewall. Per cortesia controllate la mia modifica. Se avete qualche domanda o se fosse necessario far sì che il bot ignori i link o l'intera pagina, date un'occhiata a queste FAQ. Ho effettuato le seguenti modifiche:
- Aggiunta del link all'archivio https://web.archive.org/web/20160817034434/https://www.paloaltonetworks.it/resources/learning-center/what-is-a-firewall.html per https://www.paloaltonetworks.it/resources/learning-center/what-is-a-firewall.html
Fate riferimento alle FAQ per informazioni su come correggere gli errori del bot.
Saluti.—InternetArchiveBot (Segnala un errore) 09:14, 12 apr 2019 (CEST)
Collegamenti esterni modificati[modifica wikitesto]
Gentili utenti,
ho appena modificato 1 collegamento esterno sulla pagina Firewall. Per cortesia controllate la mia modifica. Se avete qualche domanda o se fosse necessario far sì che il bot ignori i link o l'intera pagina, date un'occhiata a queste FAQ. Ho effettuato le seguenti modifiche:
- Aggiunta del link all'archivio https://web.archive.org/web/20160707010819/http://www.firewallinformation.com/ per http://www.firewallinformation.com/
Fate riferimento alle FAQ per informazioni su come correggere gli errori del bot.
Saluti.—InternetArchiveBot (Segnala un errore) 06:04, 2 set 2019 (CEST)