NGFW, UTM, proxy server e bastion host

di
📋 Obiettivi di apprendimento
Descrivere le funzionalità principali di un NGFW e spiegare perché supera i limiti dei firewall stateful tradizionali
Distinguere un apparato UTM da un NGFW, elencando i servizi integrati tipici di una piattaforma UTM
Spiegare il funzionamento del forward proxy e del reverse proxy indicando casi d’uso, vantaggi e rischi
Definire il bastion host e descriverne le caratteristiche di hardening e i casi d’uso tipici
📄
Slides
NGFW, UTM, proxy e bastion host — slide complete

Oltre lo stateful — perché i firewall tradizionali non bastano più

Nella lezione precedente abbiamo visto come il firewall stateful rappresenti un notevole passo avanti rispetto allo stateless: mantiene lo stato delle connessioni e gestisce automaticamente il traffico di ritorno. Tuttavia ha un limite fondamentale: non vede il contenuto dei pacchetti.

Considera questo scenario: un attaccante invia un payload malevolo all’interno di una risposta HTTP sulla porta 80 — una porta che qualsiasi firewall stateful lascia passare perché “è traffico web”. Il firewall vede solo porta 80, connessione ESTABLISHED, e lascia passare tutto. Il codice malevolo entra indisturbato.

L’evoluzione della sicurezza perimetrale — tre generazioni
1ª gen.
Stateless
IP + porta. Veloce ma cieco allo stato
2ª gen.
Stateful
Sessioni TCP. Cieco al contenuto
3ª gen.
NGFW
Deep Inspection. Vede l’applicazione e l’utente

NGFW — Next Generation Firewall

I Next Generation Firewall (NGFW) rappresentano la terza generazione della sicurezza perimetrale. Mantengono tutte le capacità dei firewall stateful ma aggiungono funzionalità che operano al livello applicativo, consentendo di vedere non solo chi comunica con chi ma anche cosa viene comunicato e da quale applicazione.

Deep Packet Inspection (DPI)

Analizza il contenuto completo del pacchetto — non solo header IP e TCP ma anche il payload applicativo. Può rilevare payload malevoli nascosti in protocolli legittimi.

Es: rileva una shell reverse nascosta in una risposta HTTP 200 OK
Application Control

Identifica le applicazioni indipendentemente dalla porta usata. BitTorrent su porta 80? Skype su porta 443? Il NGFW lo riconosce e può bloccarlo per policy aziendale.

Es: blocca WhatsApp su dispositivi aziendali anche se usa HTTPS
IPS integrato

Intrusion Prevention System integrato nel firewall: rileva e blocca attacchi noti tramite firme aggiornate (exploit, buffer overflow, SQL injection nei parametri HTTP).

La differenza con IDS: l’IPS blocca, l’IDS solo segnala
Identity Management

Associa il traffico di rete all’identità dell’utente (non solo all’IP). Integrazione con Active Directory o LDAP: le policy si applicano a Mario Rossi, non all’IP 192.168.1.10.

Es: il reparto HR può accedere al gestionale, il reparto IT no
SSL/TLS Inspection

Decifra e reinspeziona il traffico HTTPS prima di reinoltrarlo. Necessario perché oggi oltre il 90% del traffico web è cifrato — senza questa funzione il DPI è cieco.

⚠️ Impatto sulla privacy: richiede policy aziendali chiare e consenso degli utenti
Threat Intelligence

Aggiornamento continuo delle firme di sicurezza tramite feed cloud. Il NGFW confronta IP, URL e hash di file con database di IoC (Indicators of Compromise) aggiornati in tempo reale.

Es: blocca automaticamente un IP che compare nella lista C2 di un botnet
📌 WAF — Web Application Firewall

Il WAF è un componente specializzato che alcuni NGFW integrano, ma che esiste anche come prodotto indipendente. Protegge specificamente le applicazioni web da attacchi come SQL Injection, Cross-Site Scripting (XSS), CSRF e attacchi DDoS a livello applicativo. A differenza del DPI generico, il WAF conosce la semantica di HTTP/HTTPS e delle API REST. Esempi: AWS WAF, Cloudflare WAF, ModSecurity (open source).

Confronto funzionale — Stateful vs NGFW
CapacitàStatefulNGFW
Filtraggio IP/porta
State table TCP
Deep Packet Inspection
Riconoscimento applicazioni (L7)
IPS integrato
Identità utente (user-based policy)
SSL/TLS Inspection
Costo tipico✅ Basso⚠️ Elevato

UTM — Unified Threat Management

Un apparato UTM integra in un’unica piattaforma molteplici servizi di sicurezza che tradizionalmente richiedevano dispositivi separati. L’obiettivo è semplificare la gestione della sicurezza perimetrale, soprattutto nelle PMI e nelle organizzazioni con team IT limitati.

Servizi tipicamente integrati in un UTM
🦠 Antivirus / Antimalware
Scansione in tempo reale del traffico per rilevare malware, trojan, spyware
📧 Antispam
Filtraggio email in ingresso con analisi reputazione IP e contenuto
🛡️ IPS
Rilevamento e blocco di intrusioni con firme aggiornate
🌐 Web Filtering
Blocco di categorie di siti: adult content, gambling, social media
🔒 VPN
Tunnel cifrati per accesso remoto sicuro e site-to-site
📊 Logging centralizzato
Raccolta e correlazione di tutti gli eventi di sicurezza in un’unica console
🚫 DLP
Data Loss Prevention: previene la fuoriuscita di dati sensibili
📶 QoS
Priorità al traffico VoIP e critico, throttling del traffico non essenziale
🔥 Firewall NGFW
Il motore di base — tutto il resto si aggiunge sopra
✅ Vantaggio principale — UTM

Un solo apparato da configurare, aggiornare e monitorare al posto di 5-8 dispositivi separati. Riduzione drastica della complessità operativa e del costo totale di gestione (TCO).

⚠️ Limite — UTM

Il Single Point of Failure: se l’UTM è compromesso o guasto, tutta la sicurezza perimetrale viene meno. Nei contesti enterprise si preferisce stratificare più vendor diversi.

Proxy Server

Un proxy server è un intermediario che si interpone tra client e server, ricevendo le richieste per conto dei client e inoltrandole verso la destinazione. Dal punto di vista del server di destinazione, la richiesta sembra provenire dal proxy, non dal client originale.

Esistono due tipologie principali con funzioni opposte:

Forward Proxy

Il forward proxy si posiziona davanti ai client interni, gestendo le loro richieste verso Internet. Il client è configurato esplicitamente per usare il proxy (oppure il traffico viene reindirizzato trasparentemente).

Schema Forward Proxy
💻
Client LAN
richiesta
🔀
FORWARD PROXY
filtra + caching
richiesta
🌐
Server esterno
Funzioni principali
  • Filtraggio contenuti — blocca categorie di siti
  • Caching — memorizza risorse frequenti, riduce latenza
  • Anonimizzazione — nasconde gli IP interni
  • Logging — traccia le attività degli utenti
Casi d’uso reali
  • Scuole e uffici pubblici — web filtering obbligatorio
  • Aziende — controllo navigazione dipendenti
  • Reti aziendali — ottimizzazione banda con caching

Reverse Proxy

Il reverse proxy si posiziona davanti ai server interni, ricevendo le richieste provenienti da Internet e distribuendole ai server di backend. Dal punto di vista del client esterno, sta parlando con il reverse proxy — i server reali sono invisibili.

Schema Reverse Proxy
🌐
Client esterno
richiesta
🔀
REVERSE PROXY
WAF + load balancing
smista
Server Web 1
Server Web 2
Server API
Funzioni di sicurezza
  • Nasconde IP reali dei server backend
  • WAF integrato — filtra SQL injection, XSS
  • Terminazione TLS — gestisce la cifratura HTTPS
  • Protezione DDoS — assorbe picchi di traffico
Funzioni di performance
  • Load balancing — distribuisce il carico
  • Caching — riduce il carico sui server
  • Compressione — ottimizza la trasmissione
  • Esempi: Nginx, Apache, AWS ALB, Cloudflare

Proxy pubblici e rischi di sicurezza

⚠️ I proxy pubblici gratuiti — attenzione

Molti utenti usano proxy pubblici gratuiti per aggirare restrizioni geografiche o nascondere il proprio IP. I rischi sono concreti: il gestore del proxy può intercettare tutto il traffico non cifrato, iniettare pubblicità o malware nelle pagine, registrare le attività. Per attività sensibili si raccomanda sempre l’uso di VPN controllate internamente o provider fidati.

Forward vs Reverse — confronto diretto

AspettoForward ProxyReverse Proxy
PosizioneDavanti ai clientDavanti ai server
Chi proteggeI client interniI server interni
Chi lo configuraIl client (o admin di rete)L’amministratore dei server
NascondeIP dei client interniIP dei server backend
Esempi prodottiSquid, pfSense, ZscalerNginx, HAProxy, Cloudflare

Bastion Host

Il bastion host (letteralmente: bastione) è un sistema appositamente progettato per essere esposto verso reti non fidate — Internet o una DMZ — e costituisce il punto di accesso critico alla rete. È il sistema più vulnerabile agli attacchi, e per questo viene sottoposto al massimo livello di hardening.

Principio del bastion host — minimalismo estremo

Un bastion host deve esporre solo ed esclusivamente i servizi strettamente necessari. Ogni servizio, porta, account o software non indispensabile aumenta la superficie di attacco e va rimosso.

✅ Misure di hardening tipiche
  • OS minimalista (solo pacchetti necessari)
  • Tutti i servizi non necessari disabilitati
  • Autenticazione SSH con chiavi — no password
  • Logging completo di ogni accesso
  • Patch di sicurezza applicate in tempo reale
📌 Casi d’uso tipici
  • Jump server — accesso amministrativo remoto sicuro
  • Gateway SSH/VPN — unico punto di ingresso
  • Proxy in DMZ — intermediario tra Internet e LAN
  • Server DNS o mail pubblici
Blocco automatico in caso di attacco: molti bastion host integrano sistemi IPS e tool come fail2ban che bloccano automaticamente IP che tentano accessi ripetuti (brute force SSH).
📌 Riepilogo — Punti chiave
  • Il NGFW supera lo stateful aggiungendo DPI, Application Control, IPS, Identity Management e SSL Inspection — vede il contenuto e il contesto, non solo IP e porte
  • Il WAF è un componente specializzato per la protezione delle applicazioni web (SQL injection, XSS) — può essere integrato nel NGFW o deployato separatamente
  • Un apparato UTM unifica firewall, antivirus, IPS, VPN, web filtering e logging in una piattaforma — vantaggio in semplicità, rischio di single point of failure
  • Il forward proxy protegge i client interni verso Internet; il reverse proxy protegge i server interni dall’esterno — posizioni e obiettivi opposti
  • Il bastion host è il sistema più esposto della rete e per questo il più hardened — principio del servizio minimo essenziale

Lascia un commento