Come funziona un firewall stateless
L'obiettivo di un firewall è limitare l'accesso a una rete protetta. Un firewall viene installato in linea con il traffico in entrata e in uscita dalla rete protetta, consentendogli di ispezionare ogni pacchetto in entrata o in uscita. Il firewall decide se consentire o eliminare un pacchetto in base al suo set di regole integrato.
Sebbene esistano diversi tipi di firewall, un firewall stateless è quello che valuta ogni pacchetto esclusivamente in base ai dati che contiene, normalmente l'intestazione del pacchetto. L'intestazione del pacchetto contiene indirizzi IP, numeri di porta e altre informazioni che il firewall può utilizzare per determinare se il pacchetto è autorizzato o meno.
Un firewall può essere configurato con regole che limitano la serie di indirizzi IP che possono accedere alla rete protetta o che permettono solo a determinati protocolli di rete di entrare o uscire dalla rete. Ad esempio, un firewall stateless può essere impostato per consentire le connessioni HTTPS in entrata, ma bloccare le SSH in entrata. Allo stesso modo, un firewall può essere configurato per bloccare il traffico proveniente da determinate regioni geografiche o da indirizzi IP noti come cattivi.
Stateful vs. Stateless firewall
I firewall stateless sono comunemente definiti in contrasto con i firewall stateful. La differenza principale è che i firewall stateful tengono traccia di alcune informazioni sullo stato attuale di una connessione di rete attiva, mentre quelli stateless non lo fanno.
Questo è significativo perché consente ai firewall stateful di identificare e bloccare il traffico apparentemente legittimo ma dannoso. Ad esempio, l'handshake TCP prevede un pacchetto SYN da parte del client seguito da un pacchetto SYN/ACK da parte del server seguito da un pacchetto ACK da parte del client. Se un aggressore invia un pacchetto ACK a un server aziendale che non è in risposta a un SYN/ACK, un firewall stateful lo bloccherebbe, ma uno stateless no. Ciò significa che i firewall stateless trascureranno alcuni tipi di scansioni di rete e altri attacchi che quelli stateful cattureranno e bloccheranno.
Pro e contro dei firewall stateless
Un firewall stateless è progettato per elaborare solo le intestazioni dei pacchetti e non memorizza alcuno stato. Questo offre alcuni vantaggi, tra cui i seguenti:
- Velocità: Un firewall stateless esegue un'analisi relativamente ridotta del traffico di rete, rispetto ad altri tipi di firewall. Di conseguenza, potrebbe offrire una latenza inferiore rispetto ai firewall stateful.
- Scalabilità: L'elaborazione limitata dei firewall stateless influisce anche sulla loro scalabilità. Lo stesso hardware può essere in grado di elaborare un numero maggiore di connessioni con un firewall stateless, grazie ai requisiti limitati di elaborazione e di dati del firewall.
- Costo: i firewall stateless sono meno complessi di altri tipi di firewall. Di conseguenza, possono essere disponibili a un prezzo inferiore rispetto ai firewall più sofisticati.
Tuttavia, anche se un firewall stateless ha i suoi vantaggi, questi sono bilanciati da svantaggi significativi. I firewall stateless non sono in grado di rilevare molti tipi di attacchi comuni, tra cui i seguenti:
- Pacchetti fuori sequenza: I pacchetti stateless non hanno visibilità sullo stato attuale di una connessione di rete e non possono rilevare i pacchetti legittimi inviati deliberatamente fuori sequenza. Ad esempio, un firewall stateless non sarebbe in grado di rilevare molti tipi di scansioni TCP (ACK, FIN, ecc.) o di identificare una risposta DNS inviata senza una richiesta corrispondente.
- Embedded malware: i firewall stateless ispezionano solo le intestazioni dei pacchetti di rete, non il loro contenuto. Questo rende impossibile identificare se il contenuto dannoso, come il malware, è contenuto nel payload di un pacchetto.
- Attacchi a livello applicativo: L'attenzione dei firewall stateless sulle intestazioni dei pacchetti li rende anche ciechi agli attacchi eseguiti a livello di applicazione. Ad esempio, lo sfruttamento delle vulnerabilità delle applicazioni web o gli attacchi contro l'infrastruttura cloud sarebbero invisibili a questi firewall.
- Attacchi DDoS (Distributed Denial of Service): Un attacco DDoS comporta di solito l'invio di un volume massiccio di pacchetti di spam a un obiettivo. Poiché questi pacchetti sembrano legittimi e un firewall stateless esamina ogni pacchetto individualmente, non noterebbe questo tipo di attacco.
I firewall stateless possono essere più efficienti dei firewall stateful. Tuttavia, sono completamente ciechi alla maggior parte degli attacchi moderni e forniscono un valore limitato all'organizzazione.
Sicurezza del firewall con Check Point
La scelta del firewall giusto è essenziale per il successo del programma di cybersecurity di un'organizzazione. Per la protezione contro le minacce moderne, l'unica opzione è un Next Generation Firewall (NGFW) che integra più funzionalità di sicurezza per una visibilità approfondita della sicurezza e un'efficace threat prevention. Scopra di più su cosa cercare in un firewall in questa guida all'acquisto di NGFW.
Check Point offre una gamma di NGFW progettati per soddisfare le esigenze specifiche di qualsiasi organizzazione. Per saperne di più sulle capacità dei NGFW di Check Point e identificare la scelta giusta per la sua organizzazione, si registri oggi stesso per una demo gratuita.
Feedback