Sicurezza della Rete: Firewall, IDS e IPS

Un'azienda su cinque in Italia ha subìto almeno un attacco informatico significativo negli ultimi tre anni. Eppure molte di queste organizzazioni avevano un firewall. Come è possibile? Perché un firewall da solo non basta più, e quali sono gli strumenti che completano la difesa? In questa guida spieghiamo il ruolo di firewall, IDS e IPS e come lavorano insieme per proteggere una rete moderna.

La superficie di attacco è cambiata

Dieci anni fa, proteggere una rete aziendale significava mettere un firewall tra internet e la LAN e il gioco era fatto. Oggi:

• I dipendenti lavorano da casa, dai bar, dagli aeroporti
• Le applicazioni sono nel cloud, non nei server locali
• I dispositivi IoT (stampanti, telecamere, sensori) si moltiplicano
• Gli attacchi più pericolosi arrivano dall'interno o tramite account compromessi

In questo scenario, il firewall tradizionale è necessario ma non sufficiente. Serve una strategia a più livelli.

Firewall: la prima linea di difesa

Il firewall è il componente più antico e consolidato della sicurezza di rete. Il suo compito è controllare il traffico in entrata e in uscita sulla base di regole definite: pacchetti che soddisfano le regole passano, gli altri vengono bloccati.

Tipi di firewall

Packet filter (filtro a pacchetti): il tipo più semplice. Esamina ogni pacchetto individualmente in base a indirizzo IP sorgente/destinazione, porta e protocollo. È veloce ma "cieco" al contesto: non sa se un pacchetto appartiene a una connessione legittima o no.

Stateful firewall: tiene traccia dello stato delle connessioni attive. Sa che una risposta HTTP in arrivo è attesa perché c'è stata una richiesta in uscita corrispondente. Blocca i pacchetti "orfani" che non appartengono a nessuna sessione aperta — molto più efficace contro certi tipi di attacchi.

Firewall applicativo (Layer 7): capisce il contenuto del traffico, non solo gli header. Può bloccare una richiesta HTTP anche se viene su una porta "consentita" se il contenuto ha caratteristiche sospette (SQL injection, XSS, ecc.). I WAF (Web Application Firewall) sono un caso specifico: proteggono le applicazioni web da attacchi come quelli della lista OWASP Top 10.

Next-Generation Firewall (NGFW): integra funzionalità di firewall tradizionale con ispezione profonda dei pacchetti (DPI), controllo delle applicazioni, prevenzione delle intrusioni e in alcuni casi sandboxing per i file sospetti. Prodotti come Palo Alto, Fortinet FortiGate e Cisco Firepower rientrano in questa categoria.

Cosa un firewall non può fare

Un firewall non rileva attività malevole all'interno del traffico "consentito". Se un utente scarica un file Excel con una macro malevola, il firewall tipicamente non lo blocca — la connessione HTTPS verso un sito di posta legittima è permessa. Qui entrano in gioco IDS e IPS.

IDS: Sistemi di Rilevamento delle Intrusioni

Un Intrusion Detection System (IDS) monitora il traffico di rete (o l'attività di un sistema) alla ricerca di comportamenti sospetti, e genera alert quando li rileva. Non blocca nulla da solo: segnala e basta.

IDS di rete (NIDS) vs IDS su host (HIDS)

• NIDS: analizza il traffico che attraversa la rete. Viene posizionato su un punto di osservazione (spesso dopo il firewall) e analizza i flussi in tempo reale.
• HIDS: gira direttamente su un server o endpoint. Monitora file di sistema, log, processi attivi, chiamate di sistema. Strumenti come OSSEC e Wazuh sono HIDS open source molto diffusi.

Come rileva le minacce?

Rilevamento basato su firma (signature-based): confronta il traffico con un database di pattern di attacchi noti. Efficace contro minacce conosciute, cieco contro gli zero-day.

Rilevamento basato su anomalie (anomaly-based): impara il comportamento normale della rete (baseline) e segnala deviazioni significative. Può rilevare attacchi nuovi, ma genera più falsi positivi.

Rilevamento basato su policy: verifica che il traffico rispetti le politiche aziendali definite (es. "nessun traffico FTP in uscita").

IPS: Sistemi di Prevenzione delle Intrusioni

Un Intrusion Prevention System (IPS) è come un IDS, ma invece di segnalare soltanto interviene attivamente: blocca il traffico malevolo in tempo reale.

L'IPS è posizionato "in linea" nel flusso di rete — tutto il traffico passa attraverso di lui. Quando rileva un attacco, può:

• Bloccare il singolo pacchetto o la connessione
• Bloccare temporaneamente l'IP sorgente
• Inviare un alert e registrare l'evento
• Riconfigurare dinamicamente il firewall

Il rischio dei falsi positivi

Il principale svantaggio di un IPS è che un falso positivo blocca traffico legittimo. Se l'IPS blocca erroneamente le connessioni al gestionale aziendale, il lavoro si ferma. Per questo la calibrazione delle regole è critica, e molte implementazioni iniziano in modalità "detection only" (come un IDS) prima di abilitare il blocco automatico.

Come lavorano insieme

In un'infrastruttura ben progettata, questi strumenti si integrano:

Internet → Firewall → IPS (inline) → Rete interna
                         ↓
                    IDS (passivo) → SIEM → Alert

• Il firewall filtra il traffico sulla base di regole statiche
• L'IPS analizza il traffico consentito alla ricerca di attacchi
• L'IDS monitora passivamente per analisi forense e rilevamento di anomalie
• Il SIEM (Security Information and Event Management) aggrega tutti i log e gli alert, permettendo di correlare eventi e rispondere agli incidenti

Strumenti open source per chi vuole partire

Non serve un budget enterprise per avere una buona protezione:

• pfSense / OPNsense: firewall/router open source con IDS/IPS integrato (Suricata o Snort)
• Suricata: IDS/IPS open source, molto performante, con supporto al rilevamento basato su regole e machine learning
• Snort: il pioniere degli IDS open source, ancora molto usato
• Wazuh: piattaforma HIDS + SIEM open source, gratuita fino a certe dimensioni

Domande frequenti

Ho bisogno di tutti e tre (firewall, IDS, IPS)? Dipende dalla dimensione e dal rischio. Per una piccola azienda o per uso domestico avanzato, un router con firewall SPI (stateful) è il minimo indispensabile. Un NGFW con IPS integrato copre la maggior parte dei casi. L'IDS separato ha senso nelle organizzazioni con un team di sicurezza che gestisce gli alert.

Qual è la differenza tra IDS e SIEM? L'IDS rileva intrusioni nel traffico di rete. Il SIEM aggrega e correla log da molteplici sorgenti (IDS, firewall, sistemi operativi, applicazioni) per dare una visione unificata degli eventi di sicurezza e facilitare la risposta agli incidenti.

Un firewall cloud protegge anche la rete on-premise? No, non direttamente. I firewall cloud (come AWS Security Groups, Azure NSG) proteggono le risorse nel cloud. Per la rete on-premise serve un firewall fisico o virtuale sulla propria infrastruttura. Alcune soluzioni SASE (Secure Access Service Edge) unificano la protezione cloud e on-premise.