I firewall stateful intercettano i pacchetti a livello di rete e poi ricavano e analizzano i dati da tutti i livelli di comunicazione per migliorare la sicurezza. Le informazioni sullo stato della connessione e altri dati contestuali vengono memorizzati e aggiornati dinamicamente. Questo fornisce un contesto prezioso per valutare i futuri tentativi di comunicazione.
Get a Personal Firewall Demo Benchmark di sicurezza Miercom 2024 NGFW
I computer utilizzano protocolli ben definiti per comunicare sulla rete locale e su Internet.
Questi includono i protocolli di trasporto di basso livello, come TCP e UDP, e anche i protocolli di livello applicativo superiore, come HTTP e FTP.
I firewall stateful ispezionano i pacchetti di rete, tracciando lo stato delle connessioni in base alle conoscenze sui protocolli utilizzati nella connessione di rete. Per esempio, il TCP è un protocollo orientato alla connessione, con controllo degli errori per garantire la consegna dei pacchetti.
Una connessione TCP tra client e server inizia con un handshake a tre vie per stabilire la connessione. Un pacchetto viene inviato da un client con un flag SYN (sincronizzazione) impostato nel pacchetto. Il server che riceve il pacchetto capisce che si tratta di un tentativo di stabilire una connessione e risponde con un pacchetto con i flag SYN e ACK (acknowledge) impostati. Quando il client riceve questo pacchetto, risponde con un ACK per iniziare la comunicazione sulla connessione.
Questo è l'inizio di una connessione che altri protocolli utilizzano poi per trasmettere dati o comunicare.
Per esempio, il browser del cliente può utilizzare la connessione TCP stabilita per trasportare il protocollo web, HTTP GET, per ottenere il contenuto di una pagina web.
Quando la connessione viene effettuata, si dice che lo stato è stabilito. Al termine della connessione, il client e il server interrompono la connessione utilizzando i flag del protocollo, come FIN (finish). Quando la connessione cambia stato, da aperta a stabilita, i firewall stateful memorizzano le informazioni sullo stato e sul contesto in tabelle e aggiornano queste informazioni dinamicamente man mano che la comunicazione procede. Le informazioni memorizzate nelle tabelle di stato forniscono dati cumulativi che possono essere utilizzati per valutare i collegamenti futuri.
Per i protocolli stateless come UDP, il firewall stateful crea e memorizza dati di contesto che non esistono all'interno del protocollo stesso. Ciò consente al firewall di tracciare una connessione virtuale in cima alla connessione UDP, anziché trattare ogni pacchetto di richiesta e risposta tra un'applicazione client e server come una comunicazione individuale.
Le sessioni FTP utilizzano più di una connessione. Una è una connessione di comando e l'altra è una connessione di dati su cui passano i dati.
Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4
Quando la connessione dati viene stabilita, deve utilizzare gli indirizzi IP e le porte contenuti in questa tabella di connessione. Un firewall stateful utilizzerà questi dati per verificare che qualsiasi tentativo di connessione dati FTP sia in risposta a una richiesta valida. Una volta chiusa la connessione, il record viene rimosso dalla tabella e le porte vengono bloccate, impedendo il traffico non autorizzato.
Un firewall stateless valuta ogni pacchetto su base individuale. Può ispezionare gli indirizzi IP di origine e di destinazione e le porte di un pacchetto e filtrarlo in base a semplici liste di controllo degli accessi (ACL). Ad esempio, un firewall stateless può implementare una politica di "negazione predefinita" per la maggior parte del traffico in entrata, consentendo solo le connessioni a particolari sistemi, come i server web ed e-mail. Ad esempio, consentendo le connessioni a indirizzi IP specifici sulla porta TCP 80 (HTTP) e 443 (HTTPS) per il web e sulla porta TCP 25 (SMTP) per le e-mail.
I firewall stateful, invece, tracciano ed esaminano una connessione nel suo complesso. Tracciano lo stato attuale dei protocolli stateful, come il TCP, e creano un overlay di connessione virtuale per le connessioni come l'UDP.
I firewall stateful hanno le stesse capacità di quelli stateless, ma sono anche in grado di rilevare dinamicamente e di consentire le comunicazioni applicative che quelli stateless non potrebbero fare. I firewall stateless non sono consapevoli delle applicazioni, ossia non possono comprendere il contesto di una determinata comunicazione.
Il firewall stateful di Check Point è integrato nello stack di rete del kernel del sistema operativo. Si colloca al livello software più basso tra la scheda di interfaccia di rete fisica (Livello 2) e il livello più basso della pila di protocolli di rete, in genere IP.
Inserendosi tra i componenti fisici e software dello stack di rete di un sistema, il firewall stateful di Check Point garantisce la piena visibilità di tutto il traffico in entrata e in uscita dal sistema. Nessun pacchetto viene elaborato da nessuno dei livelli di stack di protocollo superiori, finché il firewall non verifica prima che il pacchetto sia conforme alla politica di controllo dell'accesso alla sicurezza di rete.
Il firewall stateful di Check Point offre una serie di vantaggi preziosi, tra cui:
Check Point’s next-generation firewalls (NGFW) integrano le caratteristiche di un firewall stateful con altre funzionalità di sicurezza di rete essenziali. Per saperne di più su cosa cercare in un NGFW, consulti il sito questa guida all'acquisto. È anche il benvenuto a RICHIEDI UNA DEMO GRATUITA per vedere i NGFW di Check Point in azione.