Staful firewall: pro e contro

Gli stateful firewall sono dei firewall che operano a livello 4 della pila ISO-OSI, cioè consentono di specificare delle regole che coinvolgono tipo di protocollo (TCP, UDP, ICMP, ecc.) e porta di origine o destinazione. In uno dei precedenti articoli in questo blog abbiamo visto come implementare una soluzione simile in RRAS di Windows Server. La soluzione proposta aveva queste caratteristiche:
- efficace contro le connessioni a server di P2P come Emule;
- meno efficace nel contrastare le connessioni peer nel P2P (ad es. rete Kad o Bittorrent);
- efficace nel filtrare tutti i tipi di pacchetti acconsentendo il traffico solo attraverso le porte note;
- poco efficace nel protocollo FTP in passive mode, dato che le porte dati sono scelte random fra le PASV (1025-65535).

Visti questi pregi e difetti, la caratteristica più appariscente all'utente finale era sicuramente il mancato accesso all'FTP, sia con programmi dedicati che da browser.

Il problema, usando uno stateful firewall (e anche RRAS), non è risolvibile, a meno di rinunciare alla sicurezza della rete...

Si può considerare un proxy come Squid come valida alternativa, ma quest'ultimo lascia passare comunque i P2P. Nel prossimo articolo vedremo una soluzione basata su L7filter, programma che opera a livello sette della pila OSI e che permette quindi di intervenire nei protocolli "applicativi" come HTTP, POP3, FTP, ecc.

A presto!