Firewall OpenSource
Firewall: proteggete DAVVERO la vostra rete senza farvi strangolare dai fornitori
di Michele Sciabarrà, socio fondatore e attuale Amministratore Delegato di ePrometeus.
Tratto da manager.it

Ezio disse: “ma quanto costano questi firewall???”. Aveva in mano il conto del fornitore di connettività. Luigi rispose “molto meno di quello che valgono”. Ezio replicò “e come fai a dire che non valgono nulla?” Luigi si accomodò sulla poltrona pronto per una stupenda disquisizione sui pro e sui contro dei firewall e dell’opensource.

“Non ho detto che non valgono nulla. Ma bisogna vedere il servizio che offrono. Prima di tutto: cosa è un firewall? Dovrebbe essere solamente un filtro per evitare che dall’esterno arrivino accessi a servizi, che normalmente sono attivi solo nella rete interna. In linea di principio ogni servizio ha le sue restrizioni di accesso, ma siccome gli utenti normalmente non stanno a proteggersi troppo (o non sanno nemmeno farlo), occorre qualcuno che faccia la guardia. Gli uffici abbondano di sistemi con condivisioni di file non protette da password, o macchine con tutti i servizi aperti e password assolutamente ovvie come “pippo” o “password”. Gli utenti percepiscono le misure di sicurezza più come un ostacolo a effettuare il loro lavoro piuttosto che come una protezione.

Questo ha portato facilmente a disastri in passato, alla mitizzazione dell’hacker invincibile che penetra nei sistemi in maniera onnipotente (mentre nella stragrande maggioranza dei casi ha solo attraversato una porta lasciata aperta o socchiusa). E in questo mare di ignoranza chi promette sicurezza sembra che possa chiedere qualunque cifra. In realtà  la sicurezza informatica è qualcosa di relativamente semplice.  3 semplici regole:

1.      chiudere la porta

2.      riparare le crepe quando si formano

3.      controllare tentativi di violazione

In termini informatici questo si traduce in:

1.      disattivare i servizi inutili.

2.      aggiornare i servizi utili.

3.      effettuare regolarmente un auditing.

Molti dei sistemi che vengono venduti sono basati su hardware proprietario che viene gestito dal fornitore di connettività. Offrono sicurezza nel senso che blindano tutto, ma se vi andate a leggere le clausole, ben pochi vi offrono garanzie oltre a promettervi di fare... quello che fanno. Il che viene compreso spesso solo dagli addetti ai lavori! Come dire: il vostro sito è sicuro perché  ve lo dico io, ma se quello che ho fatto non va bene… sono cavoli vostri. Dovevate stare piu’ attenti.

Bella sicurezza! Sembra ridicolo ma fatemi vedere chi vi da’ garanzie di risarcimento in caso di violazione. Il punto è che la sicurezza assoluta non esiste. Il solo computer sicuro è il computer staccato in rete. Ma detto questo è comunque possibile raggiungere un livello di sicurezza accettabile e ragionevole. E questo cercando di capire come fanno gli hacker a penetrare nel vostro server.

Gli hacker prima di tutto possono entrare solo da porte aperte. Se le chiudete, non entrano. Le porte però possono presentare ogni tanto delle crepe. Queste crepe vanno chiuse. E comunque chiunque cerca di violare il vostro sistema lascia delle tracce e impiega tempo. Se voi monitorate le attività potete intervenire prima che avvenga il danno e ridurre i rischi.

Quindi non basta chiudere le porte. Quello è relativamente facile. Il secondo punto è chiudere le crepe: questo significa che i sistemi devono essere mantenuti regolarmente aggiornati. Questo è molto facile con l’open source ma diventa piu’ difficile con i fornitori commerciali. In quanto all’auditing, è  ovviamente costosissimo anche se può essere fatto facilmente con software OpenSource, almeno parzialmente. Rilevato una tentata intrusione… bisogna fare qualcosa.

Il punto focale del discorso è che con i software OpenSource si ottiene una maggiore sicurezza (o almeno equivalente) di quella ottenibile con i software proprietari, a una frazione del costo e con molta piu’ efficienza e prontezza nella riparazione di crepe.. Non so se avete mai visto un router. Bene questo router è in sostanza un computer (e nient’altro) con dell’hardware specializzato per i collegamenti e un software proprietario per l’amministrazione e la configurazione del router. È costosto perché è appunto proprietario e solo gente esperta e “certificata” spesso può  metterci le mani.

Sai perché oggi i sistemi di sicurezza informatica costano un mare di soldi? Perchè  si specula sull’ignoranza e sulla paura. Ma per difendersi efficacemente basta un po’ di competenza. Competenza che è molto piu’ facile acquisire su sistemi aperti che non sui sistemi proprietari.

Puo’ fare benissimo da router anche un banalissimo PC anche datato; ovviamente dotandolo di Linux. Linux è anche un prodotto spettacolare per fare da firewall.  Fornisce, a costo zero, una gran quantità di funzioni che sono fornite dai costosi router: filtraggio dei pacchetti (per non lasciar passare accessi indesiderati), NAT e Masquerading (per nascondere la vostra rete dietro il firewall), port forwarding (per far accedere a servizi nascosti dietro il firewall), VPN (per collegare in maniera sicura reti remote via internet) e quant’altro. Poi ci sono sistemi per il rilevamento di intrusioni (Snort per esempio), sistemi di configurazione di firewall (per esempio Smooth Wall) ad interfaccia grafica, e tanto (ma davvero tanto) altro.

In realtà i sistemi non informatici non sono invulnerabili perché possono presentare errori software che consentono, opportunamente sfruttati, di entrare nel sistema. Questi errori vengono periodicamente scoperti. E non vale solo per Linux, vale anche per Windows o i router eccetera. Il punto è che la sicurezza di Linux è ottenuta dalla “full disclosure”, ovvero dalla notifica di tutte le possibilità di violare un sistema. TUTTI  i bachi noti vengono immediatamente notificati. Se tutti sanno che nel sorgente esiste un buco, gli sviluppatori possono anche rapidamente correggerlo. Generalmente le correzioni vengono prodotte nel giro di ore dalla notifica del problema, e una volta prodotta, chi fa le distribuzioni fornisce nel giro di qualche ora i binari per la versione corretta.

Ti faccio un esempio pratico: con la mia distribuzione Linux commerciale (di cui non ti faccio nomi) mi sono iscritto (a pagamento) al servizio di notifica. Io leggo regolarmente i siti di notizie Linux che hanno una sezione di sicurezza. Ogni tanto viene scoperto un problema, nella maggior parte dei casi “veniale” cioè qualcosa che potrebbe portare a problemi di sicurezza, ma non attualmente utilizzabile. La famosa “crepa” che non è ancora un buco. Bene, quasi sempre ricevo, il giorno dopo o addirittura il giorno stesso, una email che mi dice che quel buco noto è stato tappato e posso effettuare l’aggiornamento. Basta eseguire un comando (update), e il sistema mi viene automaticamente aggiornato. Per la verità la cosa potrebbe pure essere eseguita automatico, ma in generale preferisco sapere che cosa succede e chi mi sta modificando il sistema e perché. Conclusione: cosa vuoi di piu’ da un sistema?”

Ezio era senza parole. L’unico dubbio che gli era rimasto era il costo: bene o male gli aggiornamenti sono disponibili anche per i software commerciali. Ma ogni dubbio gli venne quando chiese il costo del servizio di notifica degli aggiornamenti di cui parlava Luigi. “60$ l’anno” disse. Ezio si preoccupo’: se l’amministratore avesse saputo quanto spendevano per il firewall ogni anno, che peraltro non erano nemmeno mai stati aggiornati da anni… Chiamò immediatamente il consulente Linux senza nemmeno pensare di dire nulla nè a Luigi né all’amministratore.