next up previous contents
Next: Modi di operare di Up: Analisi della rete e Previous: Ridurre gli effetti di   Indice

Analisi del firewall

Il firewall è uno degli strumenti più efficaci per gestire i rischi della rete perchè fornisce meccanismi di controllo degli accessi che permettono di implementare delle complesse politiche di sicurezza.
Per analizzare il firewall bisogna analizzare e capire i confini tra i domini sicuri della rete. Un dominio sicuro è una parte contigua della rete che opera sotto una singola e uniforme politica. Laddove questi domini si intersecano c'è la necessità di una politica per risolvere i meccanismi di conflitto in quel confine. É qui che entra in gioco il firewall.
Nello sviluppo della politica di sicurezza per il firewall devono essere tenuti in conto i seguenti aspetti:
\begin{dingautolist}{192} \item Identificazione dei rischi che si vogliono limit... ...ita e della rete e del sistema sul quale il firewall opererà. \end{dingautolist}

Ci sono due classi di architettura di firewall: singolo strato e multi strato.

In un'architettura a singolo strato, vedi figura 7.2, un host della rete diviene il firewall ed è connesso a qualunque rete per le quali controlla gli accessi. Questo approccio è generalmente scelto quando il costo è un fattore primario e quando si devono connettere solo due reti. Il vantaggio di questa scelta è che tutto quello che c'è da sapere e da fare per un firewall sta tutto su una singola macchina; nel caso in cui la politica da implementare sia semplice e ci siano poche reti connessi questa scelta nel tempo è valida sotto il profilo dei costi. Il grandissimo svantaggio di questa architettura è la sua sucettibilità a difetti nell'implementazione o ad errori di configurazione. Un solo errore o difetto può permettere di penetrare il firewall

Figura 7.2: Architettura a singolo strato
\begin{figure}\begin{center} \epsfig{file=immagini/1strato.eps}\end{center}\end{figure}

In un architettura multi strato, vedi figura 7.3, le funzioni del firewall sono distribuite su un piccolo numero di host, generalmente connessi in serie, con una Zona Demilitarizzata (DMZ) tra loro. Questo approccio è più difficile da implementare e da operare ma fornisce un sostanziale maggior grado di sicurezza diversificando le difese. Sebbene sia più costoso è bene usare differenti tecnologie in ciascun degli host del firewall perchè permette di ridurre sensibilmente gli stessi difetti di implementazione ed errori di configurazione che saranno presenti in ogni strato.

Figura 7.3: Architettura a multi strato
\begin{figure}\begin{center} \epsfig{file=immagini/2strati.eps}\end{center}\end{figure}


Subsections
next up previous contents
Next: Modi di operare di Up: Analisi della rete e Previous: Ridurre gli effetti di   Indice
Gian Fabio Palmerini 2001-10-31