Cos’è la sicurezza perimetrale
La sicurezza perimetrale rappresenta l’insieme delle tecnologie, delle politiche e delle procedure adottate per proteggere una rete LAN dalle minacce provenienti sia dall’esterno che dall’interno. Il perimetro di rete è il punto di separazione tra la rete fidata (interna) e le reti non fidate (Internet, reti pubbliche, reti partner).
In passato il perimetro era netto e ben definito: tutto ciò che stava dentro era sicuro, tutto ciò che stava fuori era potenzialmente ostile. Oggi questo concetto si è evoluto: con il cloud, il lavoro remoto e i dispositivi IoT, il perimetro è diventato fluido e distribuito. Questo ha portato all’emergere del modello Zero Trust — di cui parleremo più avanti — che non presuppone fiducia implicita nemmeno per il traffico interno.
Non è solo bloccare gli attacchi. L’obiettivo completo è: prevenire le minacce, rilevare le anomalie, contenere i danni e tracciare gli eventi per analisi forensi e miglioramento continuo.
Tipologie di minacce
Accessi non autorizzati ai dispositivi di rete, furto di hardware, sabotaggio fisico delle infrastrutture, intercettazione di segnali (tappi fisici su cavi).
Attacchi informatici (DoS, DDoS, MITM), malware (virus, ransomware, spyware), intrusioni, intercettazioni di traffico, vulnerabilità software.
Defense in Depth — la difesa a strati
La sicurezza perimetrale moderna non si basa su un unico strumento ma su più livelli di protezione sovrapposti, secondo il principio di defense in depth (difesa in profondità). L’idea è semplice: se un livello viene compromesso, i livelli successivi rallentano o bloccano l’attaccante prima che raggiunga i dati critici.
Il modello Zero Trust (NIST SP 800-207, 2020) porta la defense in depth al livello successivo: “non fidarsi mai, verificare sempre”. Anche un utente già dentro la rete deve autenticarsi e autorizzarsi per ogni risorsa. Non esiste più un “dentro sicuro” e un “fuori pericoloso” — ogni accesso è trattato come potenzialmente non fidato. È il modello adottato da Google (BeyondCorp) e da tutte le grandi infrastrutture cloud.
Il Firewall — il principale strumento perimetrale
Il firewall (letteralmente: muro tagliafuoco) è il componente centrale della sicurezza perimetrale. Si tratta di un sistema hardware o software che controlla e filtra il traffico di rete in base a regole di sicurezza predefinite, posizionato tra reti con diversi livelli di fiducia.
Su quali livelli dello stack TCP/IP opera un firewall
Tipologie implementative di firewall
Dispositivo fisico dedicato esclusivamente alla funzione firewall. Alta affidabilità, throughput elevato, gestione centralizzata. Esempi: Cisco ASA, Fortinet FortiGate, Palo Alto PA-Series.
Router Cisco IOS con ACL e Zone-Based Firewall. Controlla i pacchetti in transito sulle proprie interfacce. Soluzione economica, comune in reti di dimensioni medie.
Applicazione software installata su un computer con almeno due NIC (una per la rete interna, una per l’esterna). Protegge il segmento di rete collegato ma non l’intera infrastruttura.
Istanza virtualizzata (es. AWS Security Groups, Azure Firewall). Scalabile e gestita as-a-service. Sempre più diffusa con la migrazione verso infrastrutture cloud e hybrid.
Firewall Stateless — Packet Filtering
I firewall stateless, detti anche packet filter, sono la prima generazione di firewall. Analizzano ogni pacchetto singolarmente e indipendentemente, senza alcuna memoria delle connessioni precedenti. La decisione permit/deny si basa esclusivamente su:
- Velocità elevata — nessuna elaborazione contestuale
- Semplicità — configurazione e debugging immediati
- Basso consumo di risorse hardware
- Non riconosce lo stato della connessione TCP
- Vulnerabile a IP spoofing e a pacchetti con flag manipolati
- Protezione limitata contro attacchi complessi e frammentazione
Supponiamo di voler bloccare le connessioni TCP in ingresso ma permettere le risposte ai nostri client interni. Un firewall stateless dovrebbe permettere tutto il traffico TCP da porta alta (>1024), perché non sa distinguere una risposta legittima da una connessione non richiesta. Un attaccante può sfruttare questo per inviare pacchetti TCP con flag ACK attivo (senza SYN precedente) e bypassare il filtro.
Firewall Stateful — Stateful Packet Inspection
I firewall stateful (SPI — Stateful Packet Inspection) introducono il concetto fondamentale di stato della connessione. Il firewall non analizza ogni pacchetto isolatamente, ma mantiene una tabella delle connessioni attive (state table o connection table) che traccia lo stato di ogni sessione TCP/UDP in corso.
La state table — cuore dello stateful firewall
Come funziona la verifica stateful
Quando arriva un pacchetto TCP in entrata, il firewall stateful:
Cerca nella state table una connessione corrispondente (stesso IP/porta sorgente e destinazione)
Se esiste ed è in stato ESTABLISHED → il pacchetto è una risposta legittima → permesso automaticamente
Se non esiste nella state table → il pacchetto non è parte di una sessione avviata dall’interno → blocca e scarta
Verifica che flag TCP, numeri di sequenza e lo stato siano coerenti con la fase della connessione
- Maggiore sicurezza rispetto allo stateless
- Protezione contro pacchetti TCP anomali e out-of-state
- Gestione automatica del traffico di ritorno
- Maggiore consumo di memoria e CPU (state table)
- Vulnerabile ad attacchi di state table exhaustion
- Non analizza il contenuto applicativo (payload)
Confronto diretto — Stateless vs Stateful
- La sicurezza perimetrale protegge il confine tra rete fidata e non fidata usando più livelli sovrapposti (defense in depth)
- Un firewall può operare a livello Data-Link, Network/Transport e Applicazione — ogni livello offre un diverso tipo di controllo
- Il firewall stateless è veloce ma cieco allo stato della connessione — ogni pacchetto è analizzato in isolamento
- Il firewall stateful mantiene una state table e permette automaticamente il traffico di ritorno delle sessioni avviate dall’interno
- Nessuno dei due analizza il contenuto applicativo — per farlo servono i NGFW e i WAF (prossima lezione)