TCP/IP

Concetti e definizioni
Introduzione ai firewall
Prof. Ing Claudio Cilli
cilli@di.uniroma1.it
 Il modello ISO-OSI

Application
Presentation Applicativi

Session

Transport
Network
Trasporto
Datalink
Physical

2
 Il modello ISO-OSI
Application

Presentation: codici controllo (es 3270)

Session: gestisce il dialogo e controlla Carica la mandria

Transport: cerca strade e trattiene pacchetti Guarda nei vagoni

Network: assume informazioni sul traffico Aziona gli scambi

Data link: verifica se il pacchetto è trasmesso Forma i treni e controlla

3 Physical: si occupa del MAC Mette i vagoni sui binari

 Il modello OSI

Application APPLICAZIONE

Presentation REDIRECTOR
Session NETBEUI TCP/I OSI TP4 XNS
P
Transport
Network
PROTOCOL MANAGER
Datalink Network Device Interface Specification (NDIS)

Physical Etherne Token Ring Token Bus

t
4
 TCP/IP

LAN Manager for Unix Win NT "Foreign" ◆ Access via

or for OS/2 server server server FTP,
Telnet,
Sockets,
rcp, rsh

Win - Mac - DOS - OS/2

client

5
 TCP/IP

• La suite di protocolli che costituisce il TCP/IP

si riferisce ai livelli OSI:
– Application Telnet, FTP, E-mail, ...
– Transport TCP/UDP
– Network IP/ICMP
– Link Device driver e scheda di
interfaccia

6
 Il protocollo IP

• Il protocollo IP (Internet Protocol) è il protocollo principale del

livello 3 (Network) dell’architettura TCP/IP
• Si tratta di un protocollo semplice, di tipo datagram, non
connesso (connectionless o CNLS), specificato in RFC 791
• Insieme a TCP costituisce il nucleo originale e principale
dell’Internet Protocol Suite
• IP si occupa di instradare i messaggi sulla rete, ma ha anche
funzioni di frammentazione e riassemblaggio dei messaggi e
di rilevazione (non correzione) degli errori

7
 Header di un pacchetto IP

0 4 8 16 19 24 31

Version HLEN Service Total Length

Type
Identification Flags Fragment Offset

Time To Protocol Header Checksum

LIve
Source IP Address

Destination IP Address

Options Padding

8
 Header di un pacchetto IP

• Il significato dei campi del pacchetto IP è il seguente:

– Version: numero di versione del protocollo IP che ha generato il
pacchetto. Attualmente questo campo vale sempre 4
– HLEN (Header LENgth): lunghezza dell’header IP, variabile in
funzione del campo option, espressa come numero di parole da 32bit
– Service type: specifica come un protocollo di livello superiore vuole
che il pacchetto sia trattato; è possibile assegnare vari livelli di priorità
utilizzando questo campo
– Total length: è la lunghezza del pacchetto IP (header più dati) in byte
– Identification: questo campo contiene un numero intero che identifica il
pacchetto; è usato per permettere il riassemblaggio di un pacchetto
frammentato

9
 Header di un pacchetto IP

■ Significato dei campi del pacchetto IP (cont.):

• Flags: specificano se un pacchetto può essere frammentato e se
si tratta dell’ultimo frammento di un pacchetto
• Fragment offset: è l’offset del frammento il multipli di 8 byte
• Time to live: è un contatore che viene decrementato con il
passaggio del tempo; quando il contatore arriva a zero il pacchetto
viene scartato. Permette di eliminare i pacchetti che, a causa di un
malfunzionamento, sono entrati in loop
• Protocol: identifica il protocollo di livello superiore contenuto nel
campo dati del pacchetto
• Header checksum: è un campo utilizzato per controllare che
l’header IP sia corretto

10
 Header di un pacchetto IP

■ Significato dei campi del pacchetto IP (cont.):

• Source e destination address: sono gli indirizzi IP di mittente e
destinatario, entrambi su 32bit
• Option: è un campo usato dall’IP per fornire varie opzioni, quali la
sicurezza e il source routing, che può essere di tipo loose o strict

L’header IP è seguito dal campo dati che

contiene la PDU (Protocol Data Unit) del
protocollo di livello superiore

11
 Indirizzi IP

• Gli indirizzi IP comprendono due o tre parti: la prima parte

indica l’indirizzo della rete (network), la seconda (se presente)
quello della sottorete (subnet) e la terza quello dell’host
• Non sono i nodi ad avere un indirizzo IP, ma le interfacce. Se
un nodo ha tre interfacce, possiede tre indirizzi IP
• Gli indirizzi IP sono assegnati da un’unica autorità e sono
quindi garantiti univoci a livello mondiale1
• Vengono assegnati a gruppi
• Sono suddivisi in cinque classi (A, B, C, D e E)
1In Italia esistono vari soggetti che possono assegnare indirizzi Internet.

12
 Classi di indirizzi IP

• Classe A
– Concepiti per poche reti di dimensioni molto
grandi
– Massimo 128 reti di classe A
– 16,777,214 indirizzi
– Il primo campo è compreso tra 0 e 127
01 78 31

0 Network (7 bit) Host (24bit)

13
 Classi di indirizzi IP

■ Classe B
• Concepiti per un numero medio di reti di dimensioni
medio grandi
• 14 bit riservati alla parte rete (16,384)
• 65,534 indirizzi
• Il primo campo è compreso tra 128 e 191
012 15 16 31

1 0 Network (14 bit) Host (16 bit)

14
 Classi di indirizzi IP

■ Classe C
• Concepiti per un numero molto elevato di reti di
dimensioni piccole
• 21 bit riservati alla parte rete (2,097,152)
• 254 indirizzi
• Il primo campo è compreso tra 192 e 223
0123 23 24 31

1 1 0 Network (21 bit) Host (8 bit)

15
 Classi di indirizzi IP

■ Classe D
• Applicazioni multicast secondo RCF 1112
• Il primo campo è compreso tra 224 e 239

012 34 31

1 1 1 0 Multicast address (28 bit)

■ Classe E
• Riservati per usi futuri
• Il primo campo è compreso tra 240 e 255
012 345 31

1 1 1 1 0 Riservati

16
 Netmask

• La parte host di un indirizzo di classe A, B o C può

essere suddivisa in due parti subnet e host (RFC
950)
• L’ampiezza delle parti subnet e host può essere
definita in modo molto flessibile tramite un parametro
detto netmask

1 0 Network Host

1 0 Network Subnet Host

17
 Netmask

• La netmask contiene bit a uno in corrispondenza dei campi network e

subnet, e a zero in corrispondenza del campo host
• Una netmask 111111111111111111111111111100000000, più
comunemente scritta come indirizzo IP 255.255.255.0 o in esadecimale
FFFFFF00 indica che il campo host coincide con l’ultimo byte
dell’indirizzo
• All’interno di una network la netmask deve essere unica, perché è univoco
il partizionamento della network in subnet
• La netmask viene messa in AND bit a bit con gli indirizzi IP per estrarre la
parte network e subnet. Tramite questo procedimento è possibile
verificare se due indirizzi appartengono alla stessa subnet
• Una rete fisica deve coincidere con una subnet IP per consentire il
routing

18
 Netmask e routing
• La netmask viene messa in AND bit a bit con gli indirizzi IP per estrarre la
parte network e subnet. Tramite questo procedimento è possibile
verificare se due indirizzi appartengono alla stessa subnet. Es. netmask =
255.255.254.0, IP1 = 128.155.4.77, IP2 = 128.155.5.75. Netmask AND IP1
= 128.155.4.0, Netmask AND IP2 = 128.155.4.0
• Il protocollo ICMP (Internet Control Message Protocol) è il meccanismo a
basso livello con cui un host viene informato sul miglior percorso (route)
che un pacchetto deve seguire per giungere a destinazione, eventuali
problemi, o la necessità di terminare una connessione a causa di problemi
sulla rete
• Il comando Ping utilizza pacchetti echo_request per determinare se un
host è attivo; riceve pacchetti echo_reply in risposta. I pacchetti ICMP
redirect sono usati dai router per cambiare la routing table di un host in
modo da migliorare la trasmissione di pacchetti verso una determinata
destinazione

19
 Routing

• Il Routing Information Protocol (RIP) è il meccanismo utilizzato per

impostare i router e gli host con le informazioni di routing. Un attaccante
può utilizzare i pacchetti RIP per modificare il flusso di dati e instradarlo
diversamente. Alcune router utilizzano tabelle statiche e ignorano i
pacchetti RIP
• Normalmente l’IP routing è dinamico, e ogni router decide verso quale
altro router vicino indirizzare i pacchetti. Il source routing è un sistema per
specificare il percorso. Di solito si utilizza per scopi di debug e
ottimizzazione della rete. Uno strict source routing impone il percorso
esatto da seguire, mentre un loose source routing impone solo un elenco
di indirizzi IP che il pacchetto deve attraversare, ma non è solo limitato a
questi

20
 I protocolli ARP e RARP

• I pacchetti IP sono di solito inviati su una rete Ethernet, che utilizza indirizzi a 48bit
• L’Address Resolution Protocol (ARP) e il Reverse Address Resolution Protocol
(RARP) vengono utilizzati per mappare un indirizzo IP nel corrispondente Ethernet
(corrispondenza tra i livelli 3 e 2 OSI)
• I protocolli ARP e RARP sono descritti in RFC 826
• ARP viene usato tutte le volte che una stazione in LAN deve inviare un messaggio
ad un nodo della stessa LAN di cui conosce unicamente l’indirizzo di livello 3
• ARP lavora inviando un pacchetto Ethernet broadcast contenete l’indirizzo IP
desiderato. L’host di destinazione risponde inviando un pacchetto contenete il
proprio indirizzo. Per aumentare l’efficienza i nodi mantengono una cache locale
con le risposte ricevute alle richieste ARP
• RARP viene utilizzato dalle stazioni non dotate di memoria di massa (diskless) per
scoprire il loro indirizzo IP in fase di bootstrap

21
 Il protocollo TCP

• Il TCP (Transport Control Protocol) è un protocollo di tipo connection-

oriented che fornisce un servizio di tipo full-duplex (bidirezionale-
contemporaneo), con acknowledge (conferma) e controllo di flusso
• L’ordine è mantenuto da sequence number contenuti nei pacchetti. Le
richieste di apertura e di chiusura della connessione, e ogni singolo byte
trasmesso, sono numerati individualmente
• Il TCP è utilizzato dalle applicazioni di rete che richiedono una
trasmissione affidabile dell’informazione
• Le applicazioni si connettono alle porte TCP e ad alcune applicazioni
principali sono associate delle well-known port, cioè delle porte che hanno
lo stesso numero su tutti i calcolatori

22
 Il protocollo TCP

• Il TCP segmenta e riassembla i dati secondo le sue necessità: ad

esempio, se un’applicazione fa cinque scritture su una porta TCP,
l’applicazione destinataria può dover effettuare 10 letture per ottenere tutti
i dati, oppure ottenerli tutti in una sola lettura
• Il TCP è un protocollo a sliding window (finestre) con meccanismi di time-
out e ritrasmissione. La ricezione dei dati deve essere effettuata
dall’applicazione remota
• La conferma può essere inserita in una PDU in transito nella direzione
opposta
• Come tutti i protocolli di tipo sliding window, TCP ha un numero massimo
di dati in attesa di acknowledge. Tale dimensione è fissata come numero
di byte (window) e non come numero di segmenti TCP

23
 Header di un pacchetto TCP

0 4 8 16 24 31

Source Port Destination Port

Sequence number

Acknowledge Number

Data Offset Res Control Window

Checksum Urgent Pointer

Options Padding

24
 Header di un pacchetto TCP

■ Il significato dei campi del pacchetto TCP è il seguente:

• Source port e destination port: numero delle porte cui sono
associati gli applicativi che usano la connessione TCP
• Sequence number: numero di sequenza del primo byte del campo
dati del messaggio. E’ utilizzato anche come identificatore della
sliding window
• Acknowledge number: è il campo di acknowledge della
trasmissione nella direzione opposta. Contiene il numero di
sequenza del primo byte che il mittente si aspetta di ricevere.
Viene generato con la tecnica del piggyback
• Data offset: indica il numero di parole da 32 bit che compongono
l’header TCP, variabile in funzione del campo Option

25
 Header di un pacchetto TCP

■ Significato dei campi del pacchetto TCP (cont.):

• Flag: contiene informazioni varie
• Window: contiene la dimensione della receiving window del TCP
mittente e quindi lo spazio disponibile nei buffer per il traffico
entrante
• Urgent pointer: punta al primo byte urgente del pacchetto

26
 Alcune “Well Known Ports”
Nome Port Number Descrizione
ftp-data 20/tcp File transfer
(default data)
ftp 21/tcp File transfer
(control)
telnet 23/tcp Telnet
smtp 25/tcp Simple Mail
Transfer
finger 79/tcp Finger
www-http 80/tcp World Wide Web
HTTP
http-proxy 8080/tcp HTTP Proxy
auth 113/tcp Authentication
Service
nntp 119/tcp Network News
Transfer Protocol

27
 Il protocollo UDP

• Lo User Datagram Protocol (UDP) è un protocollo di

trasporto, alternativo a TCP, di tipo connectionless
• UDP è un protocollo molto più semplice di TCP ed è utilizzato
quando l’affidabilità di TCP non è richiesta
• La struttura è mostrata nella figura seguente. I campi hanno
significati simili a quelli di TCP, e la checksum è opzionale

28
 Header di un pacchetto UDP

0 16 31

UDP Source Port UDP Destination

Port
UDP Message Length UDP Checksum

Data

29
 Servizi

• La maggior parte dei sistemi operativi fornisce servizi per comunicare su

una rete. Tra questi vi sono la posta elettronica, il file transfer e il remote
login. La suite TCP/IP ne ha definiti alcuni di tipo specifico:
• FTP
– Il File Transfer Protocol (ftp) consente la trasmissione e la traduzione
di set di caratteri per file di testo e binari. L’ftp anonimo (anonymous) è
utilizzato per ricevere o trasmettere file senza la necessità di essere
autenticati sul server. Il Trivial File Transport Protocol (TFTP) è un
protocollo di trasferimento semplice che non richiede autenticazione.
E’ usato in genere per il boot delle workstation diskless. RCP, simile a
FTP, è descritto tra i cosiddetti “Comandi-R”, più avanti

30
 Servizi
■ TELNET
• Telnet è un protocollo che fornisce un accesso al computer remoto
in semplice emulazione di terminale. La password e gli altri dati
transitano in rete durante la sessione. Per questo è consigliabile
l’utilizzo della One Time Password (OTP) e della crittografia
■ SMTP
• Il Simple Mail Transfer Protocol (SMTP) viene utilizzato per
trasferire file di testo ASCII di 7-bit. Il suo impiego più comune è
per la posta elettronica (E-mail), il cui programma unix (sendmail)
in passato era affetto da molti bug. Il Multipurpose Internet Mail
Extension (MIME) arricchisce il protocollo con l’inclusione, tra
l’altro, del tipo di messaggio trasmesso nel mail header, in modo
che possa venire utilizzato un programma di visualizzazione
esterno (es.: GIF viewer, interprete PostScript, ecc.)

31
 Servizi
■ HTTP
• L’HyperText Transfer Protocol (HTTP) viene utilizzato il
trasferimento rapido di documenti ipertestuali in rete. Viene
principalmente impiegato per trasferire documenti formattati in
HTML (Hypertext Markup Language), ma è stato progettato per
supportare altri protocolli, tra cui FTP. La codifica MIME è anche
supportata. L’impiego principale è nel World Wide Web (WWW)
■ NNTP
• Il Network News Transfer Protocol (NNTP) serve per il
trasferimento delle netnews. Network news è un sistema di gruppi
di discussione a livello mondiale dove ognuno può scrivere
messaggi e leggere tutti quelli presenti. E’ organizzato in molti
(oltre 2500) gruppi di discussione, alcuni moderati, che
abbracciano i più svariati argomenti: computer, scienza, politica,
ecc.

32
 Servizi
■ DNS
• Il Domain Name Server (DNS) consiste in un sistema di database
distribuiti utilizzato per realizzare la corrispondenza (map) tra nomi
di host e indirizzi IP e viceversa. Ogni sistema in Internet utilizza il
DNS per ottenere le informazioni di indirizzamento per un
determinato host
■ NIS
• Il Network Information System (NIS) viene utilizzato per distribuire
i database di configurazione di rete dal server centrale ai suoi
client. Viene utilizzato per l’amministrazione dei computer di una
rete da un sistema centrale

33
 Servizi
■ NFS
• Il Network File System (NFS), originariamente sviluppato dalla
Sun Microsystems, consente la condivisione trasparente per
l’utente di file e directory in una rete. Un sistema può montare un
disco di un’altra stazione ed utilizzarlo come se fosse un’unità
locale
■ X.11
• L’X.11 Windowing System utilizza la rete per le comunicazioni tra
le applicazioni e il display, così che l’applicazione può essere
eseguita su un sistema, e i suoi risultati visualizzati su un altro. Le
applicazioni client si connettono al display server per accedere al
video, tastiera, mouse, ecc. Ogni programma che accede al
display server può registrare tutte le attività effettuate dalla
tastiera, comprese le password

34
 Servizi
■ Comandi-R
• I comandi “r” si riferiscono ad alcuni del sistema unix versione
Berkeley: rlogin, rsh, rexec, rwho, rcp. Rlogin per effettuare un login
remoto da un sistema verso un altro; rsh e rexec per l’esecuzione
remota di comandi, rwho per verificare quali utenti siano connessi ad
un elaboratore remoto, e rcp per la copia di file da/verso un sistema
remoto. A seconda della configurazione, questi comandi possono
essere utilizzati senza richiede la password; inoltre parte della
configurazione è mantenuta dagli utenti
■ Finger
• Il protocollo Finger serve per ottenere informazioni su un particolare
utente o sugli utenti collegati alla rete. Fornisce in genere
informazioni quali: l'ultima volta che l’account è stato usato e da dove
è avvenuta l’ultima connessione di un determinato utente

35
 Antri servizi
■ BOOTP
• Il Boot Protocol (BOOTP) è un protocollo per il bootstrap via rete
di stazioni diskless
■ ISODE
• L’ISO Development Environment (ISODE) è un ambiente di
sviluppo per applicativi OSI su reti TCP/IP
■ SNMP
• Il Simple Network Management Protocol (SNMP) è un protocollo
per la gestione degli apparati, basato su UDP/IP. SNMP è stato
progettato per inviare dati sullo stato della rete provenienti dagli
apparati ad un centro di gestione che li interpreti in modo
opportuno. Con SNMP è anche possibile modificare alcuni
parametri degli apparati di rete

36
 Altri servizi
■ NIR
• I Network Information Retrieval (NIR) sono servizi di tipo ipertestuale,
distribuiti, che permettono di accedere ad un’ampia quantità di
informazioni in modo semplice ignorando dove l’informazione si trovi. Tra
questi ricordiamo WAIS, Gopher, WWW, netfind e X.500. Quest’ultimo è
un applicativo nato nel mondo OSI, ma portato in quello Internet tramite
ISODE
■ Servizi Multicast
• Sono gli ultimi ad essere stati sviluppati nel mondo Internet. Si tratta di
servizi di audio e video conferenza basati su TCP/IP che affrontano
problematiche nuove, quali quelle della multimedialità su rete. Tra questi
ricordiamo Internet Radio Talk, IETF TV e Multimedia, Multiprotocol
World. Nell’ambito di Internet è stata definita una sottorete logica per
fornire servizi di video e audio conferenza detta MBONE (Multicast
backBONE)

37
 Il concetto di Firewall

• Un Firewall è uno strumento che protegge una rete privata da un’altra

collegata e non fidata. Può essere utilizzato per proteggere una rete
interna da Internet o per proteggere una parte di una rete interna da
un’altra. Il termine “firewall” si riferisce a diversi sistemi, non ad una
determinata apparecchiatura
• L’obiettivo è di definire un singolo e ben determinato punto dove
implementare la network security policy.
• Esistono due tipi di policy:

“Tutto ciò che non è espressamente proibito è permesso”

(ovvero bloccare solo certi servizi)
“Tutto ciò che non è espressamente permesso è proibito”
(ovvero consentire solo certi servizi)

38
 Cosa il firewall non può fare

• Un firewall non può proteggere contro tutti i tipi di minacce, e

ogni servizio o connessione attivo presenta nuove debolezze
per la sicurezza
• Un firewall non può impedire che dei dati aziendali riservati
vengano volutamente divulgati (ad es.: tramite E-mail)
• Un firewall non può proteggere contro i virus

Sono necessarie delle misure aggiuntive individuali per i

singoli host e interventi di carattere organizzativo ed educativo

39
 Panoramica sulle configurazioni

• La maggior parte delle configurazioni dei firewall

comprende un “bastion host”, che è un sistema
dotato di accorgimenti di protezione (fortificazioni)
esposto alla rete non fidata. Deve contenere un
insieme minimo di strumenti e servizi al fine di
limitare la sua vulnerabilità
• Considerazioni economiche e sulla sicurezza
definiscono la configurazione hardware e software
necessaria

40
 Configurazioni di firewall

Sistema di
trasmissione INTERNET

Firewall

41
 Configurazioni di firewall

Sistema stand-alone

Internet

42
 Configurazioni di firewall

• Sistema stand-alone
– Talvolta non è necessario connettere la rete interna a Internet. I servizi
Internet possono essere raggiunti dalle singole stazioni di lavoro con
collegamenti diretti a un particolare sistema connesso ad Internet e
non alla rete interna
– I vari utenti possono così usufruire dei servizi Internet senza esporre i
dati presenti sulla rete interna ad attacchi provenienti dall’esterno
– L’unità stand-alone può fornire i servizi FTP e Web. Gli utenti interni
hanno bisogno di accedere direttamente all’unità stand-alone.
Eventualmente una connessione diretta a Internet può essere stabilita
solo per i servizi di posta elettronica
– Questo sistema si comporta come un firewall, ma non protegge
realmente una rete dall’altra

43
 Configurazioni di firewall

Screening router

ACL

Internet

44
 Configurazioni di firewall

• Screening router
– E’ un router in grado di filtrare i pacchetti in transito sulla base di
regole definite dall’utente. Poiché la maggior parte delle reti è dotata
di router e questi dispongono in genere di capacità di filtraggio, lo
screening router è il più economico sistema firewall
– Il router esamina le regole di filtro per determinare se un pacchetto
deve essere eliminato o meno in base ai suoi indirizzi di provenienza
e destinazione
– La definizione delle regole, dette Access Control List (ACL) è
un’attività complessa e che può causare errori. E’ inoltre necessario
conoscere perfettamente i protocolli TCP e UDP. Le regole sono
inoltre difficili da scrivere e mantenere
– Gli screening router sono in genere parte di un sistema firewall, e non
costituiscono la sola linea di difesa

45
 Configurazioni di firewall

Dual-homed gateway

Internet

46
 Configurazioni di firewall

■ Dual-homed gateway
• Un dual-homed gateway è un sistema con due interfacce (schede)
di rete: una si collega alla rete interna e l’altra a Internet. Gli utenti
di entrambe le reti
• I vari utenti possono così usufruire dei servizi Internet senza
esporre i dati presenti sulla rete interna ad attacchi provenienti
dall’esterno
• L’unità stand-alone può fornire i servizi FTP e Web. Gli utenti
interni hanno bisogno di accedere direttamente all’unità stand-
alone. Eventualmente una connessione diretta a Internet può
essere stabilita solo per i servizi di posta elettronica
• Questo sistema si comporta come un firewall, ma non protegge
realmente una rete dall’altra

47
 Configurazioni di firewall

Screened host gateway

ACL
Bastion host
unico sistema
che può comunicare con il router

Internet

48
 Configurazioni di firewall

■ Screened host gateway

• Uno screened host gateway sii ottiene collegando uno screening
router tra la rete privata e quella non fidata.
• Il router è configurato in modo che una stazione, che funziona da
bastion host sulla rete privata, è il solo sistema che può
comunicare con la rete non fidata

49
 Configurazioni di firewall

Screened subnet gateway

ACL1 ACL2

Bastion host

Internet

50
 Configurazioni di firewall

■ Screened subnet gateway

• Uno screened subnet gateway si ottiene impiegando due
screening router collegati in modo da creare una sottorete isolata
(DMZ, Demilitarized Zone) tra la rete privata e quella non fidata
• Il sistema che funge da bastion host è sulla sottorete isolata

51
 Firewall software

• Wrapper program
– Un programma wrapper è un servizio di front-end: si “avvolge” (wrap)
sul servizio desiderato per proteggerlo
– Quando quel servizio è richiesto, il programma wrapper intercetta la
richiesta, verifica i diritti di accesso, e alla fine passa la richiesta al
servizio
– Un programma wrapper è di tipi general-purpose, completamente
invisibile, e non richiede modifiche ai programmi server o client
• Packet filtering
– Un packet filter svolge le stesse funzioni di uno screening router, ma
ciò è ottenuto via software dal sistema operativo
– E’ più lento di un filtro hardware, ma è di gran lunga più economico
– Talvolta è in grado di crittografare i dati in transito tra le due reti

52
 Firewall software

■ Proxy (gateway) application

• Un’applicazione proxy è simile al programma wrapper, ma in aggiunta
verifica continuamente il traffico tra i client e il server
• È necessaria un’applicazione proxy differente per ogni tipo di servizio
fornito, in quanto deve intercettare e comprendere i dati in transito tra i
client e il server
• Quando un client richiede un servizio, la parte server del proxy interpreta
la richiesta, mentre la parte client indirizza la richiesta verso il server reale
• L’applicazione proxy non è invisibile, poiché il programma client è
modificato in modo da comunicare con il proxy server e non con il
fornitore reale del servizio
• Poiché un firewall blocca il traffico tra l’interno e l’esterno, è necessaria
una specie di proxy gateway per abilitare gli utenti entro la rete protetta
dal firewall ad accedere ai servizi esterni

53