L’utilizzo del Web come piattaforma applicativa richiede soluzioni ai problemi di sicurezza in termini di autenticazione, controllo degli accessi integrità e riservatezza sulla trasmissione dei dati. Per quanto riguarda il controllo degli accessi, le Intranet si affidano a quanto permesso dalle reti IP tramite l’utilizzo di firewall.

Il controllo del traffico in transito può essere eseguito a vari livelli. Si può, innanzi tutto decidere a quali macchine rendere disponibile la rete. Tale controllo può essere facilmente eseguito analizzando gli indirizzi sorgente e destinatari dei pacchetti IP in transito, scartando quei pacchetti ritenuti illegali. In particolare, si potrebbe scartare tutto il traffico proveniente da una certa rete (caratterizzata, ad esempio, da un indirizzo IP i primi tre byte del quale sono pari a 192.106.248), perché ritenuta notoriamente inaffidabile. Oppure, si potrebbe permettere il transito di pacchetti provenienti solamente da un numero limitato di sedi (corrispondenti, ad esempio, a sedi distaccate della stessa organizzazione). Infine, si potrebbe rendere la rete privata totalmente inaccessibile dall'esterno permettendo solo il traffico uscente ed i corrispondenti pacchetti di risposta (controllando i flag del pacchetto TCP). Tale approccio ha il vantaggio di una relativa semplicità di gestione, come mostrato nel seguito, ma ha lo svantaggio di dover o negare ogni interazione con una certa rete IP o di permettere qualsiasi tipo di interazione.

Figura 41:
filtraggio del traffico TCP/IP

Per ottenere un controllo più efficiente delle comunicazioni da e verso Internet è opportuno analizzare il traffico anche a livelli superiori a quello IP. In particolare, è possibile decidere quali servizi abilitare e quali disabilitare lasciando transitare o meno pacchetti con determinati port UDP/TCP. Ad esempio, è possibile lasciar transitare tutto il traffico relativo alla posta elettronica (port TCP pari a 25) e bloccare tutto il traffico relativo all'emulazione di terminale (port TCP pari a 23), notoriamente più pericoloso.

Ovviamente, il controllo sul port TCP può essere combinato con quello sull'indirizzo IP. In questo modo, ad esempio, è possibile permettere il trasferimento file da una data macchina (indirizzo IP pari, ad esempio, a 192.106.248.18 ed indirizzo TCP pari a 21), bloccando contemporaneamente l'accesso da altre macchine e, per la stessa macchina, ad altri servizi.

Per eseguire il controllo del traffico da e verso Internet come appena descritto, si utilizzano dei sistemi chiamati "firewall". La funzione di queste "porte taglia fuoco" è proprio quello di analizzare il traffico in transito ed intraprendere opportune azioni nel momento in cui vengono rilevate delle violazioni. Dal punto di vista hardware, un firewall può essere costituito dal semplice router necessariamente presente per l'interconnessione della propria LAN al nodo di accesso ad Internet, oppure possono venire utilizzate macchine di caratteristiche più o meno spinte.

Figura 42:
screening router

Utilizzare il router per filtrare il traffico è vantaggioso innanzi tutto per motivi economici, dato che non si hanno costi da sostenere. Infatti, in quasi tutte le macchine commercialmente disponibili è prevista la possibilità di configurate delle liste di accesso per il filtraggio del traffico. Inoltre, data la semplicità della macchina, è più semplice averne il pieno controllo, evitando la presenza di debolezze non previste. Gli svantaggi, invece, riguardano l'impossibilità di disporre memorie di massa per la registrazione degli eventi (utile per rilevare la presenza di attacchi) e l'impossibilità di avere un controllo più raffinato sui servizi offerti.

Per quest'ultimo punto, infatti, sarebbe auspicabile poter permettere un certo tipo di servizio (es.: trasferimento file), ma controllare le azioni eseguibili (es.: permettere il deposito di file, ma non il prelievo). Per questi ultimi motivi, i tipi più evoluti di firewall prevedono l'utilizzo di un gateway, che eventualmente cooperi con il router al controllo del traffico.

Figura 43:
gateway