VPN 1 /Firewall 1 comprende due moduli primari, il Management Module e il VPN/Firewall Module.
Nello schema in alto viene descritto come interagiscono tra di loro i vari moduli del VPN / Firewall 1, che verranno descritti più dettagliatamente in seguito, prendendo in esame rete privata virtuale (VPN).
Si può notare come su due nodi di una delle reti della VPN venga installato il Management Module e sugli host di accesso di ogni singola rete (il gateway) viene installato il modulo VPN/Firewall.
Il GUI client permette all'utente di definire la politica di sicurezza che verrà in seguito installata e memorizzata sul Management Server (entrambi costituiscono il Management Module). In seguito il VPN / Firewall Module, grazie alle informazioni mantenute nel Management Server, mette in pratica la Security policy.
Il Management Module include la Grafical User Interface (GUI) e il Management server.
Il GUI è il front end al Management Server, il quale amministra il database VPN 1 /Firewall 1.
Il Management Module può essere sviluppato in una configurazione Client-Server. Il client può essere installato su piattaforme Windows 9x,Me,Nt o su X/Motif Grafical User Interface, e controlla l'esecuzione di un Management Server su di una delle piattaforme supportate.
Il Client interagisce con l'utente attraverso il GUI Client, ma tutti i dati (database e file di configurazione) sono mantenuti sul Management Server.
Nella configurazione semplificata schematizzata in seguito, la funzionalità del Management Module è divisa tra due workstation (Big Ben e Tower).Il Management Server (incluso il database VPN /Firewall) è su Tower. Il GUI client invece è su Big Ben.
L'user, che lavora su BIG BEN, mantiene la Security Policy e i database del VPN 1/Firewall 1, i quali risiedono su Tower. Il VPN /Firewall Module è invece installato su London, il Firewalled Gateway, il quale rafforza la politica di sicurezza e protegge la rete da eventuali attacchi esterni.
Il VPN/Firewall Module include l'Inspection Module e il VPN 1 /Firewall 1 Security Servers
L'inspection Module implementa la politica di sicurezza, gestisce gli eventi, e comunica con il Management Module utilizzando il demone VPN 1/Firewall 1. L'Inspection Module può girare solo sulle piattaforme supportate. Il VPN Firewall Module aggiunge le configurazioni all'Inspection Module.
Il client GUI, il Management Server e il VPN/Firewall Module (o Inspection Module) possono essere installati su computer differenti, o sullo stesso computer se la piattaforma supporta tutte e tre le componenti. L'amministratore del sistema usa il Management Module per definire la Security Policy, ma è il Firewalled Gateway che la rafforza.
L’Inspection Module del VPN 1 /Firewall 1 risiede
all’interno
del kernel del sistema operativo, tra il Data Link e il Network Layer (livelli
2
e 3). VPN 1 /Firewall 1 è posizionato al
livello software più basso.
Il VPN 1/Firewall1 Inspection Module, lavorando a questo livello, assicura che tutti i pacchetti entranti e uscenti sul gateway vengano intercettati e controllati. Un pacchetto non passa ai livelli più alti finché l’Inspection Module non verifica che aderisca con la politica di sicurezza adottata dall'amministratore. Inoltre il programma esamina l’indirizzo IP, il numero di porta, e ogni altra informazione richiesta per poter determinare quale pacchetto può essere accettato o meno, in accordo con la sicurezza.
VPN 1 / Firewall 1 accede ed analizza ai dati derivati da tutti i livelli di comunicazione. Questi dati di stato e di contesto sono memorizzati e aggiornati dinamicamente, fornendo delle informazioni sulla sessione virtuale per poter tracciare il comportamento del protocollo di connessione. I dati accumulati dagli stati di comunicazione e applicazione, sono usati per generare un’azione appropriata, tra cui accettare, rifiutare o cifrare la comunicazione. Ogni traffico nella rete non permesso esplicitamente dalla sicurezza è rifiutato per default e viene generato un allarme in tempo reale, fornendo all’amministratore del sistema uno stato completo della situazione della rete.
Quando il primo pacchetto di una connessione arriva al FireWall Module (il gateway o l'host sul quale é installato il modulo), l' Inspection Module esamina le regole di base per determinare se la connessione deve essere permessa o meno. Il FireWall Module applica la prima regola che descrive la connessione (sorgente, destinazione e servizio); se l'azione della regola é Accept o Encrypt, la connessione e permessa. Una volta che la connessione é stata stabilita, viene aggiunta alla connections table (elenco delle connessioni accettate); successivamente i pacchetti della connessione non saranno verificati in base alle regole ma in base alla connections table, in questo modo un pacchetto può passare solo se la relativa connessione é presente nelle tabella.
Una connessione come quella in figura é gestita dall'Inspection Module
Connessione gestita dall'Inspection Module
Quando una regola specifica come servizio una risorsa o come azione una autenticazione utente, il corrispondente Security Server é invocato a mediare la connessione, come da figura.
Connessione mediata da un Security Server
Quando un Security Server viene invocato, l'Inspection Module ridirige tutti i pacchetti nella connessione a questo, il quale gestisce l'autenticazione richiesta o ispeziona il contesto sicuro. Se la connessione é permessa, il Security Server apre una seconda connessione con il destinatario finale. Ci saranno quindi due connessioni: una dal Client al Security Server e una da questo al destinatario finale (il Server dal punto di vista del Client). Entrambe le connessioni sono mantenute nella connections table. Il VPN-1/Firewall-1 fornisce cinque Security Servers :
Telnet - solo autenticazione
Rlogin - solo autenticazione
FTP - autenticazione e contesto sicuro
HTTP - autenticazione e contesto sicuro
SMTP - solo contesto sicuro
