In parole povere, una delega è una persona a cui viene data l'autorità di rappresentare qualcun altro. Nelle reti informatiche, i proxy sono dispositivi di rete a cui viene data l'autorità di connettersi a un server per conto di un cliente.
Un esempio tipico è un server proxy o un firewall proxy che effettua una connessione per conto di un dipendente interno dell'azienda a un sito web o a un'altra applicazione. Esistono anche dei reverse proxy che collegano i clienti esterni alle risorse ospitate dall'azienda; ad esempio, collegando gli utenti remoti a un sito web intranet e a un server interno di file ed e-mail tramite un portale web aziendale. Il malware può anche agire come un proxy non autorizzato. Per esempio, legga la rete di server proxy della famiglia di malware Ramnit, descritta dal team di Check Point Research (cp<r>).
Vediamo più da vicino che cos'è un firewall proxy, come funziona un firewall proxy e la differenza tra un firewall proxy e gli odierni Next Generation Firewall (NGFW).
Mentre tutti i firewall proxy sono server proxy, non tutti i server proxy sono firewall proxy. Entrambi fungono da intermediari tra i server e i clienti. Ciascuno di essi può memorizzare nella cache le pagine web per ridurre la congestione della rete ed entrambi nascondono al server le informazioni sull'utente. Un firewall proxy esegue un'ispezione di livello più profondo del traffico di rete per identificare e proteggere dal traffico potenzialmente dannoso.
Se ha lavorato per una grande organizzazione, potrebbe avere familiarità con l'impostazione del suo computer portatile per l'utilizzo di un file proxy PAC (Proxy Auto-Configuration) o con la specificazione di un indirizzo IP del server proxy aziendale. I browser e altre applicazioni utilizzano queste impostazioni del sistema operativo per indirizzare il traffico al server proxy.
Il browser web si collega al server proxy, che intercetta la connessione ed effettua un'altra connessione al sito web di destinazione per conto del cliente, se la connessione è consentita dalla politica. Questo permette al firewall proxy di ispezionare i pacchetti all'interno della connessione. Il protocollo principale supportato è il traffico web HTTP(S), ma possono essere supportati anche altri protocolli, come l'FTP, a seconda delle capacità del firewall proxy.
Le caratteristiche principali di un firewall proxy includono:
I firewall proxy si differenziano da altri tipi di firewall per alcuni aspetti, tra cui i seguenti:
I firewall proxy sono progettati per ispezionare un piccolo insieme di traffico specifico dell'applicazione. Anche altri firewall eseguono l'ispezione profonda dei pacchetti, ma storicamente applicano i criteri in base all'indirizzo IP e alla porta o all'indirizzo del servizio, ad es. Porte TCP 80 (HTTP) e 443 (HTTPS) per il web.
Il semplice filtraggio a livello di IP e di porta è il dominio dei primi filtri di pacchetti o firewall che applicano semplici liste di controllo degli accessi (ACL). Tuttavia, gli ACL possono diventare piuttosto lunghi e difficili da capire per gli esseri umani.
I firewall stateful hanno fatto un ulteriore passo avanti e hanno portato la consapevolezza del protocollo al controllo del traffico. Per esempio, FTP (File Transfer Protocol) ha connessioni separate di controllo (porta TCP 20) e di dati (porta TCP 21). Per il trasferimento dei dati, la porta può anche essere una porta arbitraria dall'insieme delle porte disponibili, che in totale sono un po' meno di 60.000. La porta scelta tra il client e il server viene comunicata tramite la connessione di controllo FTP.
I firewall stateful che monitorano la connessione di controllo FTP possono consentire dinamicamente il trasferimento dei dati. In termini di policy, questo significa che gli amministratori della sicurezza devono solo specificare che l'FTP è consentito tra gli host. Non è necessario aprire un intervallo di porte più ampio in un elenco ACL.
Con l'avanzare di altre tecnologie, come il filtraggio degli URL, il controllo delle applicazioni, il rilevamento e la prevenzione delle intrusioni (IDS/IPS) e il sandboxing, queste sono state integrate nel firewall, dando vita a un dispositivo di sicurezza di rete multifunzionale.
Mentre il nome può essere cambiato con l'evoluzione del firewall in Secure Web gateway (SWG), UTM (Unified Threat Management) e Next Generation Firewall (NGFW), la sua posizione nella rete probabilmente non è cambiata. I server proxy e i firewall proxy sono in genere distribuiti come un dispositivo di rete trasparente verso il quale viene indirizzato il traffico.
D'altra parte, i firewall sono più tipicamente distribuiti in linea come dispositivo di confine trasparente ai confini della rete. Questi firewall eseguono anche la traduzione degli indirizzi di rete (NAT) di basso livello tra le reti, partecipano al routing utilizzando protocolli di routing statici o dinamici e terminano anche le connessioni di rete privata virtuale (VPN) client-to-site e site-to-site. Di solito, questo è del tutto trasparente per gli utenti finali, ma possono anche intercettare connessioni come quelle web crittografate SSL/TLS e le e-mail come SMTP, agendo come Message Transport Agent (MTA).
Una cosa che i firewall proxy fanno e che i NGFW non fanno è la cache del traffico web per migliorare le prestazioni. Le scarse prestazioni possono essere uno svantaggio dei firewall proxy rispetto agli NGFW. Un altro problema è che è difficile tenersi aggiornati quando le applicazioni cambiano, per cui il filtraggio delle applicazioni può talvolta interrompersi, con il risultato di un user experience scadente. Allo stesso modo, possono diventare un singolo punto di guasto e causare interruzioni della rete.
Un altro problema con i dispositivi di rete fuori banda, come i firewall proxy, è che si basano sull'impostazione della configurazione del proxy o del file PAC sul client. Gli utenti sono spesso in grado di farlo manualmente, rendendo relativamente facile bypassare il server proxy. Allo stesso modo, gli utenti ambiziosi possono utilizzare un'applicazione non supportata dal firewall proxy e aggirare la politica di sicurezza aziendale anche in questo modo.
I firewall Check Point, uno dei primi firewall stateful, si sono evoluti con l'emergere di nuove minacce. L'attuale firewall di Check Point è un valido sostituto dei firewall e dei server proxy, che consente alle aziende di consolidare le tecnologie di sicurezza di rete in un unico dispositivo di rete multifunzione altamente scalabile e affidabile.
Gli NGFW di Check Point sono disponibili anche nel sito deployment di sua scelta; per i sistemi inline routed o bridge deployment, on-premises come dispositivo fisico, nel cloud privato e pubblico come dispositivo virtuale, e come firewall-as-a-Service (FWaaS) distribuito come componente di sicurezza in un modello SASE (Secure Access Service Edge). Altri servizi di sicurezza inclusi nel modello SASE sono Zero Trust rete Access(ZTNA) per fornire un accesso sicuro alle applicazioni aziendali e CASB (cloud access security broker) per proteggere in modo nativo le suite di produttività delle applicazioni cloud per l'ufficio e la posta elettronica.
Per saperne di più su cosa cercare in una soluzione NGFW o SASE, consulti questa Guida all'acquisto. Inoltre, è possibile effettuare una demo di un prodotto Check Point NGFW o SASE oggi stesso.