In questi giorni mi sono fermato a riflettere sui motivi per cui ci siano ancora tanti firewall e router con firmware non aggiornati. L’aggiornamento firmware su firewall e router è fondamentale per garantire la sicurezza delle reti, ma spesso viene trascurato.

È essenziale che firewall e router esposti siano mantenuti efficienti, eppure questo, purtroppo, spesso non accade.

Partendo dal presupposto che, per le aziende, non dovrebbero più esserci semplici router, ma firewall UTM con servizi attivi, la questione diventa ancora più evidente.

Sì, perché senza servizi attivi, i vari firewall come Palo Alto, WatchGuard, Fortinet, ecc., non servono a nulla.

Vedendo diverse piccole e medie realtà, mi sono fatto un’idea del perché ciò accada.

In realtà ci sono diversi motivi, uno tra i quali è che le aziende non investono nel mantenimento delle reti, montano i dispositivi e non si eseguono manutenzioni finchè non succede qualcosa di bloccante…

Il motivo principale per cui non si aggiornano i firmware è la paura di un fermo produttivo. Questo riguarda non solo la connessione a Internet, ma spesso anche l’intera rete.

Firewall e router che gestiscono l’accesso a Internet svolgono spesso altre funzioni critiche. Queste includono la gestione della LAN (gateway) con VLAN e server DHCP.

Questo significa che, in caso di aggiornamento e conseguente riavvio del dispositivo, si rischia, in alcuni casi un blocco quasi completo della rete locale.

Secondo me, questo approccio è sbagliato.

Risparmiare su un router dedicato alla gestione della LAN può esporre a rischi di sicurezza molto pericolosi, che potrebbero portare a data breach o, addirittura, a blocchi prolungati della rete.

Ne vale davvero la pena? Per me, la risposta è no!

L’ideale sarebbe implementare un firewall UTM che si occupi esclusivamente della sicurezza tra Internet e l’azienda, mentre un router interno gestirebbe la LAN.

Questo avrebbe diversi benefici.

Prima di tutto, la sicurezza: si potrebbe aggiornare il firewall senza interrompere troppo la produttività interna (a parte eventuali disconnessioni delle VPN con le sedi remote o road warrior).

La rete locale continuerebbe a funzionare, minimizzando i downtime.

Inoltre, la velocità intra-VLAN ne trarrebbe vantaggio.

Per ottenere un throughput elevato, sarebbero necessari firewall di fascia alta, con costi molto elevati.

Con un approccio di separazione, sarebbe sufficiente un firewall dimensionato alle esigenze dell’azienda, quindi più accessibile, mentre il router si occuperebbe solo del routing intra-VLAN, garantendo prestazioni migliori.

Questo porterebbe a un doppio vantaggio: maggiore sicurezza e una rete più veloce, scalabile ed affidabile.

L’unico “contro” che vedo è la “complessità” nella gestione dei permessi e delle VLAN, che diventerebbe più articolata, dato che si dovrebbero gestire le regole sia sul router che sul firewall.

Tuttavia, sinceramente, le maggiori prestazioni e la sicurezza giustificano ampiamente questa difficoltà di gestione.

Un corretto aggiornamento firmware firewall router è essenziale per garantire una rete sicura e affidabile.

---

Se ti appassiona il mondo Mikrotik, ho creato un corso completo dove tratto molte configurazioni pratiche! Lo trovi su Udemy a questo indirizzo.

Hai un’azienda ed hai bisogno di supporto o assistenza? Contattami direttamente! 🚀