Firewall

Il firewall è un tassello fondamentale per garantire la sicurezza di una qualunque rete di computer. Esistono due tipi di firewall:

  • Firewall Software: è un programma che può essere già presente nel sistema operativo, oppure può essere installato in seguito, che ha il compito di controllare tutte le richieste di accesso al nostro computer, così come le richieste di accesso a internet effettuate dagli altri programmi installati sul nostro computer. Tale soluzione, denominata anche firewall personale, è spesso adottata sui PC domestici.
  • Firewall Hardware: Un firewall di tipo hardware è utilizzato di solito per proteggere una rete di computer, come quella di una scuola. Questo dispositivo si interpone fisicamente fra il router, che dà l'accesso ad Internet, e la rete locale in modo che tutto il traffico in entrata o in uscita dalla rete passi per il firewall stesso che ha quindi la possibilità di permettere l'accesso o di negarlo a seconda dei criteri di sicurezza adottati.

In una realtà complessa come quella di un istituto scolastico la soluzione da adottare è senz'altro quella di un firewall hardware che permette una gestione professionale della sicurezza da parte dell'Amministratore di Sistema. La gestione delle sicurezza e del firewall deve infatti essere fatta in maniera centralizzata e non può essere delegata al singolo utente come avviene con le soluzioni di firewall personale.


Come detto, il firewall hardware, firewall d'ora in avanti, è un dispositivo che separa la rete locale dal mondo esterno (Internet) e attraverso esso deve passare qualunque comunicazione per garantirne il filtraggio secondo determinati criteri. In una rete scolastica, tuttavia, è spesso necessario definire delle sottoreti con dati, applicazioni ed utenti distinti (si pensi alla rete amministrativa, alla rete estesa alle aule ed ai laboratori ad una eventuale rete wireless). Per poter gestire la comunicazione fra più sottoreti, il firewall deve essere dotato di più di una interfaccia di rete locale in modo che anche il traffico fra diverse sottoreti debba passare necessariamente attraverso il firewall. In tal modo si possono definire politiche di sicurezza che, per esempio, impediscono l'accesso alla rete amministrativa da parte dei PC collegati alla rete della didattica.


Il sistema firewall fornisce ulteriori servizi molto importanti che ne consigliano l'adozione anche nelle sedi dove ci sono solo PC destinati alla didattica:

  • filtraggio dei contenuti web con interdizione dell'accesso a siti inadatti ad una finalità didattica o di lavoro appartenenti ad una lista di indirizzi vietati
  • Monitoraggio dell'uso di Internet con l'archiviazione in un file di informazioni quali sito acceduto, ora, utente, etc.
  • Possibilità di consentire o vietare l'accesso ad Internet in base all'utente, al PC, all'ora, al sito richiesto.
  • filtri antivirus e antispyware
  • Traffic Shaping per l'utilizzo ottimale della banda con l'assegnazione delle priorità in base all'applicazione e alla rete di appartenenza    
  • Proxy http ed FTP

La funzione proxy del firewall fa in modo che qualunque richiesta di accesso ad Internet venga inoltrata, se conforme alla politica di sicurezza adottata, dal proxy stesso e non direttamente dal PC client sulla rete locale. Come primo risultato il proxy maschera la struttura interna della rete locale per cui all'esterno non si ha modo di sapere, da una analisi del pacchetto dati, quale PC abbia fatto la richiesta della pagina web. Il proxy, prima di cercare in internet la pagina web richiesta da client, verifica se tale pagina non sia già presente nella sua memoria cache. Ciò in una rete come quella scolastica in cui diversi utenti navigano spesso sulle stesse pagine può comportare un sensibile aumento della "velocità" di navigazione percepita dagli utenti perché le pagine stesse non devono essere scaricate dalla lenta linea ADSL ma viaggiano sulla rete locale, molto più veloce. Tutto questo senza dover occupare parte della preziosa e limitata banda della linea ADSL che sarà a disposizione di coloro che chiedono pagine non presenti nella memoria cache del proxy.

L'utilizzo di un firewall a protezione della rete interna contribuisce anche alla creazione di una così detta zona demilitarizzata che può essere utilizzata dalla scuola per esporre su internet propri servizi come ad esempio un server contenente il proprio sito web.

Casi di studio

In questa sezione riportiamo alcune situazioni tipiche con lo scopo di fornire indicazioni pratiche alle istituzioni scolastiche su come organizzarsi per garantire un livello minimo di sicurezza nell'ambito degli scenari ipotizzati. Naturalmente data la varietà delle situazioni e delle dotazioni tecnologiche presenti nelle scuole non si ha la pretesa di essere esaustivi, ma si intende fornire uno spunto di riflessione da cui partire per determinare ed affinare la soluzione personalizzata sulla base delle esigenze della scuola.

Scenario 1: sede staccata con linea ADSL per accesso ad Internet da parte delle aule e dei laboratori

Questo scenario descrive una scuola che abbia limitate esigenze di connettività alla rete internet, interamente soddisfabili tramite un collegamento ADSL. La sede non ospita uffici di segreteria per cui tutti i PC collegati in rete, posti nelle aule e nei laboratori, sono destinati alla didattica. In questo caso non è necessario operare la segmentazione della rete locale ed è sufficiente collegare uno switch della rete locale all'interfaccia locale del firewall. Una seconda interfaccia del firewall è collegata al router ADSL.

In questo caso, considerato l'uso didattico dei sistemi destinati ad essere utilizzati anche da minori, la principale funzione del firewall è quella di vigilare sull'uso di Internet bloccando l'accesso a siti vietati e tenendo traccia dei siti acceduti per una verifica a posteriori. Come principio generale è bene disabilitare tutti i protocolli non strettamente necessari; si può ipotizzare il transito dei protocolli http, https, ftp, smtp, nntp per garantire i principali servizi internet, così come l'abilitazione di particolari numeri di porta, oltre a quelli standard, che siano utilizzati da specifici servizi applicativi. Ogni altra esigenza dovrà essere espressamente valutata analizzando aspetti positivi e negativi. Da valutare anche l'opportunità di permettere l'accesso ai social networks.

Scenario 2: scuola con uffici di segreteria e laboratori collegata ad internet esclusivamente tramite una linea ADSL

Anche in questo scenario si hanno limitate esigenze di connettività alla rete internet soddisfatte da un unico collegamento ADSL. In tal caso però esiste una rete amministrativa, estesa agli uffici di segreteria, ed una rete destinata alla didattica, estesa alle aule ed ai laboratori.
La figura seguente riporta lo schema logico della rete:

In questa situazione è necessario operare una segmentazione della rete locale con la separazione in due reti fisiche distinte della rete di segreteria da quella destinata alla didattica. Perché le due sottoreti possano condividere in sicurezza l'unica linea ADSL a disposizione è necessario collegare il firewall come in figura in modo che qualunque pacchetto destinato ad una delle sottoreti debba necessariamente passare per il firewall che opererà il filtraggio secondo i criteri di sicurezza fissati. Per garantire la riservatezza della rete di segreteria si propone di vietare qualunque accesso ad essa proveniente da Internet o dalla sottorete di didattica. A seconda delle esigenze si potrà abilitare l'accesso a qualche specifico servizio (si pensi ad un PC posto in sala professori che debba interagire in qualche modo con il server di segreteria per avere qualche servizio in rete o all'uso di stampanti o fotocopiatori posti sulla rete di segreteria e che si voglia utilizzare dai PC della didattica).
In questo caso il controllo degli accessi ad Internet andrà esteso non solo alla rete didattica ma anche a quella di segreteria. Si mette in questa sede in evidenza che il rischio di un uso improprio di Internet non deriva solo dagli alunni ma anche dal personale dipendente. L'uso di strumenti per il controllo dell'uso di Internet da parte del personale dipendente si fa in qualche modo delicato dal punto di vista del rispetto della privacy sul posto di lavoro, ma con le dovute precauzioni, redazione di disciplinari e regolamenti da portare a conoscenza di tutto il personale, è possibile operare i necessari controlli. Nella configurazione considerata è particolarmente importante la gestione della banda da parte del firewall che deve privilegiare gli utenti della rete di segreteria garantendo lo svolgimento delle attività amministrative anche in presenza di un notevole traffico sviluppato dalla rete estesa alle aule ed ai laboratori.  

Scenario N.3 . Scuola di grandi dimensioni con due o più linee ADSL per l'accesso ad internet

Spesso la scuola ha più di una linea ADSL per l'accesso ad internet che pone problematiche non banali che devono essere correttamente valutate. Una prima ipotesi, descritta nella figura seguente, prevede l'utilizzo separato delle due connessioni, riservandone una al traffico didattico, (quindi sostanzialmente dei laboratori o delle aule) ed una al traffico amministrativo (segreteria). Ipotizzando di voler mantenere gli stessi livelli di sicurezza sui due accessi si avrà la necessità di replicare la soluzione architetturale e tecnologica scelta, come indicato in figura:

E' evidente che la situazione descritta risulta onerosa (è necessario l'adozione di due sistemi di protezione firewall) e certamente richiede una gestione complessa. Al fine di minimizzare i costi e avere una gestione più flessibile degli accessi ad Internet si può adottare un unico sistema firewall che permette di utilizzare le due connessioni internet in bilanciamento di traffico in modo da garantire la qualità di certi servizi anche nei momenti di maggior traffico. Le soluzioni più evolute consentono anche di gestire al meglio l'indisponibilità di una delle linee ADSL garantendo dei servizi minimi (quelli della segreteria, per esempio).

Per soddisfare in modo flessibile qualunque esigenza di sicurezza che possa nascere in ambiente scolastico la nostra società ha sviluppato una soluzione firewall in ambiente Linux denominata Firewall Scuola.

 

Viale Elmas 33-35 09122 Cagliari tel 070271526 - 070271560 - 070278289 fax 070284300
2017  Vargiuscuola.it  P. IVA 01576740920  informativa privacy - note legali