IL TelecomandoLAB
Firewall
Blog

Firewall Hardware o Software

Meglio un firewall software o un firewall hardware? Dipende dalle esigenze e dai prezzi .

La sicurezza informatica è un tema sempre più predominante su internet. D’altronde è la rete stessa a veicolare minacce per le nostre apparecchiature e i nostri dati personali. Ce ne sono di molto aggressivi, come malware, ransomware (ecco cos’è) e truffe informatiche. E ne esistono di più leggere, ma che ci provocano comunque fastidi e disagi nell’utilizzo del nostro computer. Dal semplice spam via mail, al mining inconsapevole di cui potete leggere tutto qua. Una delle soluzioni è il firewall, quella “porta tagliafuoco” che si contrappone tra i malintenzionati in rete e il vostro personal computer. Generalmente vengono utilizzati in ambienti aziendali, dove il valore dei dati e delle attrezzature è molto elevato e la rete da salvaguardare è complessa. Tuttavia anche un privato può acquistare un firewall e vivere a cuor leggero le sessioni di navigazione. Cosa scegliere tra firewall fisici WatchGuard, Cisco, Zyxel o servizi software?

Meglio un firewall software o hardware?
È la domanda chiave che ci prefissiamo di risolvere tra le righe dell’articolo. Prima però è bene spiegare cosa è un firewall software e hardware. Come funziona uno e come l’altro. Facciamo un passo indietro: anzitutto il firewall si pone tra due reti diverse, quella esterna e quella interna al nostro sistema. La prima è il cosiddetto internet: posto meraviglioso dove chiunque può condividere e scambiare informazioni. La seconda è la rete LAN, detta anche Local Area Network. È composta dai device del proprio ambiente di lavoro o della propria casa. In casi particolari c’è n’è una terza, chiamata DMZ (Demilitarized zone) che una sotto-rete della LAN. Il firewall fa da “buttafuori” tra LAN e internet, decidendo cosa può passare e cosa no nella rete locale.

Tornando al quesito di partenza, la differenza tra firewall software e hardware è molto semplice. Il primo è un programma o una suite di programmi che compiono tutte le operazioni da un pc collegato alla rete locale. Alcuni pacchetti di firewall software comprendono anche servizi di manutenzione, assistenza e aggiornamenti. Sul mercato si trovano quelli gratuiti, come il famoso Zone Alarm e Avira, ma la maggior parte sono a pagamento. Tra i più noti citiamo Bitdefender Internet Security 2018, pensato per chi ha Windows. Intego, indicato a chi usa Mac e McAfee per mobile. I prezzi vanno dai 21 € all’anno per Bitdefender, a 50-70 € per pacchetti più completi, come alcune versioni di Intego e McAfee Live. Le opinioni sono tutte ottime.

E il firewall Hardware? Prezzi e opinioni
Il firewall Hardware sono prodotti fisici: per capirci scatole da installare nel proprio ufficio e che svolgono meccanicamente le operazioni tipiche di un firewall. Al loro interno hanno un microprocessore, una RAM, una memoria non volatile , delle porte e un sistema operativo che gestisce un software apposito. Diciamo pure che ogni firewall hardware contiene necessariamente un firewall software, che gestisce le componenti fisiche dello strumento. Costano mediamente di più dei firewall software ma hanno tutto incluso. I prezzi vanno da un minimo di 2-300 € fino a un massimo di 4-5000 €. Le marche più famose e con opinioni più alte sono la Watchguard, con i suoi Firebox, la Cisco e la Zyxel.

Che differenza c’è tra un antivirus e un firewall software?
A prima vista, i due sistemi sembrerebbero svolgere le stesse operazioni. E invece ci sono differenze sostanziali. L’antivirus (qui la guida ai Kaspersky) si limita a rilevare codici virali e virus in un file scaricato sul pc. Una volta individuato, noi utenti veniamo notificati della presenza del virus e spinti a cancellarlo dal nostro hard disk prima che sia troppo tardi. Ma il file è bell’e che entrato nella nostra rete LAN, senza incontrare nessun muro o ostacolo nel suo cammino. Il firewall software invece ne avrebbe impedito l’ingresso a monte, senza farlo transitare tra i corridoi della nostra rete aziendale o casalinga. Immaginiamo un firewall software come un vero e proprio interruttore o rubinetto, che consente o meno la comunicazione tra una rete e l’altra. Ma non solo: il firewall software – così come quello hardware – è in grado di compiere operazioni complesse. Dal controllo sulla navigazione (impedire o consentire agli utenti LAN di accedere a determinati siti), all’accesso in remoto di server, al blocco di mail spam.

Pro e contro tra firewall software e hardware
Come avrete capito, non esiste un sistema migliore degli altri. Dipende dalle esigenze di ciascun utente. Generalmente il firewall software è consigliato per utenti privati, che hanno esigenze più semplici e disponibilità economiche ridotte. I suoi vantaggi – oltre ai prezzi – sono un’installazione più snella, un’ottima interattività e gli aggiornamenti automatici. Non c’è bisogno di cambiare macchina, basta scaricare la nuova versione. Gli svantaggi sono il rallentamento del PC (ecco come assemblarne uno) sul quale il firewall software è installato, alcuni limiti di funzionalità e una protezione meno efficace. I firewall hardware sono più adatti ad aziende medio grandi o in generale a chi necessita di connessioni WAN protette. Che siano Point-to-point o Multi-point. I vantaggi sono una maggiore protezione della rete, con filtraggio “a monte” e intelligente del traffico, una gestione routing, una qualità dei servizi inclusi più elevata e un numero di computer protetti potenzialmente infinita (o comunque nell’ordine del centinaio). Ah, non consuma risorse del computer, come invece è per il firewall software. Gli svantaggi sono i prezzi elevati e una configurazione complessa. Va detto che quest’ultimo problema è stato in parte risolto sugli ultimi modelli, che hanno un’efficace auto-configurazione.

Rischi del firewall hardware WatchGuard, Cisco e Zyxel
Da questo breve confronto è ovvio che il firewall hardware ne esce vincitore. In un certo senso così è, ma vogliamo mettervi in guardia su alcuni rischi nell’acquisto di un Firewall WatchGuard, Cisco o Zyxel. C’è un bellissimo articolo di Andrea Monguzzi, pubblicato su Linkedin qualche mese fa e che pone alcuni dubbi sulla reale utilità di un firewall hardware WatchGuard, Cisco e Zyxel come “scatola a sé”. Secondo Monguzzi “se il cliente acquista la scatola sbagliata (per colpa sua o di chi lo ha consigliato) oggi cosa può fare? Ha solo due opzioni: 1) se la tiene e si arrangia oppure 2) litiga con il fornitore per non pagarla”. E in effetti ciò non succede con il firewall software, perché si tratta di un servizio. Oltretutto, continua Monguzzi “un firewall è mediamente complesso da gestire. Se non sei un informatico (ma forse anche se lo sei), non è detto che tu abbia le competenze per gestirlo in modo corretto e tale da garantire la sicurezza della tua rete”.

Il futuro è dei firewall software?
[Aggiornamento] Recentemente abbiamo avuto modo di discutere direttamente con Andrea Monguzzi, che ha tenuto a fare le sue precisazioni su quanto scritto da noi. Il nostro testo originale era:

Il discorso di fondo di Andrea Monguzzi non è sbagliato, anche se talvolta pecca di approssimazione. “Se hai bisogno la corrente non compri la centrale, così come non lo fai per il gas, l’acqua o la linea telefonica. Piuttosto, sottoscrivi un servizio”. Con il firewall tecnicamente è uguale: “è un servizio di sicurezza, e come tale va trattato”. Meglio risolvere un problema con un canone mensile, piuttosto che “costringere un cliente a comprare un dispositivo da 3.000 Euro, da pagare sull’unghia”. E se poi l’azienda chiude? O se più semplicemente le necessità cambiano, si resta con una costosissima scatola inutilizzata o sovradimensionata. Il canone di un servizio di firewall software invece, si può abbandonare in qualsiasi momento. Qui le opinioni insomma, sono discordanti. Molto semplicemente, Andrea Monguzzi non tiene conto che un firewall software deve essere installato su uno o più PC, i quali si trovano “a valle” della rete LAN. In pratica il “muro” viene innalzato già dentro la rete locale, su uno strumento che si prenderà tutta la spazzatura che arriva dall’esterno. Questa ha già attraversato modem, router, switch e access point, appesantendo tutto l’apparato. Si risparmia è vero, ma il rischio nei firewall software è quello di non servire a praticamente nulla.

Qui riportiamo, onde evitare fraintendimenti, quello che lui ci ha scritto via mail. Il suo è un valido appunto e pensiamo possa tornare utile a chi sta ragionando sull’acquisto di un firewall:

“Il concetto che esprimo nel mio articolo è legato al fatto che in molti casi trovo aziende che hanno comprato un firewall, e lo stesso è abbandonato da anni su una mensola, senza nessun tipo di servizio di sicurezza attivo (perché scaduti o perché mai nemmeno attivati) e quindi totalmente inutile e inefficace. Quindi quando dico di non comprare la scatola intendo che non basta acquistare il pezzo di ferro. La scatola è indispensabile, ma va gestita. Siccome il servizio di gestione costa, ha più senso a mio avviso inserire anche l’hardware nel canone di servizio invece di comprare una cosa che, inevitabilmente, diventerà vecchia e andrà prima o poi sostituita o risulterà inadeguata. Preciso che non è Watchguard ad offrire un servizio di supporto e monitoraggio, ma il partner che lo fornisce e installa. L’apparato Watchguard, da solo, è una scatola. Costosa, pesante e – se non gestita – inutile”.

In ogni caso, consigliamo di consultare il suo articolo, dove illustra nel dettaglio il suo pensiero sulla sicurezza informatica aziendale. Ecco il link diretto.

La soluzione di mezzo
Tra pro e contro, forse abbiamo confuso le idee al lettore sui firewall software e i firewall hardware. Proponiamo così una (tra le tante) soluzioni di mezzo, per chi volesse un servizio efficiente, a “monte” della propria LAN e senza spendere un patrimonio. Sarebbe utile comprare un pc con specifiche scarse (dunque al costo di 150-200 €) e installare un sistema operativo libero e adatto allo scopo (Linux). Il passaggio successivo è quello di metterlo a monte di tutta la rete LAN, installarci la suite di servizi firewall software e utilizzarlo come firewall hardware fatto in casa. Oppure comprare un pc assemblato a dovere, con schede madre ITX con doppia scheda LAN e CPU integrata, metterci un sistema operativo Pfsense o ZeroShell. Su internet, ci sono ottimi tutorial su come realizzare un firewall hardware fai-da-te. A questo link, trovate le indicazioni di Roberto Saia, a quest’altro decisamente più creativo.

Firewall hardware: quali comprare?
L’offerta è ampia e – a meno che non siate degli smanettoni – è meglio comprare un firewall hardware a basso costo piuttosto che passare ore a tribolare su un vecchio PC. Ce ne sono sull’ordine dei 3-400 € di WatchGuard, Cisco e Zyxel che hanno già tutto incluso e un sistema di “auto-configurazione” piuttosto efficace. Di seguito vi proponiamo una breve guida con recensioni a qualche modello dei tre brand più interessanti nel settore.

original link advister.it

 

Spread the love