Il Firewall 1

Il VPN 1/Firewall 1 è un firewall commercializzato dalla CheckPoint^® sviluppato per la definizione e il mantenimento di politiche di sicurezza nell'ambito di reti complesse. Il motore del Firewall 1 è la Stateful Inspection Technology che permette la definizione e la gestione dei requisiti di sicurezza definiti in precedenza.

L'attuale versione in commercio è la 4.1 rilasciata nel secondo semestre 2000. VPN-1/ Firewall-1 é composto principalmente da due moduli, il Management Module e il FireWall Module.
Il Management Module include il GUI Client e il Management Server, mentre il FireWall Module comprende l'Inspection Module, i Security Servers.

Il GUI Client permette di definire e amministrare la propria politica di sicurezza (con un'interfaccia grafica) in termini di oggetti di rete (host, network, etc.) e regole di sicurezza. Tale modulo include anche Log Viewer (per la visualizzazione dei file di log) e System Status Viewer (per il controllo dello stato dell'intero sistema di firewall).

Con il Management Server vengono memorizzate le regole di sicurezza definite tramite GUI Client e mantienuti i databases di VPN-1/Firewall-1, incluse le definizioni di oggetti di rete, le definizioni dell'utente, la politica di sicurezza e i file di log per ognuno dei punti di rinforzo della rete protetta (firewalled enforcement points). Come vedremo il GUI Client e il Managent Server possono trovarsi sulla stessa macchina oppure in una configurazione Client/Server

Il FireWall Module é situato sui gateway e su tutti gli altri punti di accesso alla rete. Dopo che la Security Policy é stata definita con il GUI Client e memorizzata sul Management Server, viene generato uno script (con il linguaggio proprietario INSPECT), il quale una volta compilato viene caricato nel FireWall Module, il cui compito é proteggere la rete.

L'Inspection Module esamina tutte le comunicazioni in accordo con la Security Policy e comunica con il Managent Module.

Compito dei Security Servers é provvedere a tutto ciò che riguarda autenticazioni e contesti sicuri.

Nel seguito chiameremo firewalled enforcement point un host sul quale é installato un Ispection Module o un FireWall Module.

Il GUI Client, il Management Server e il FireWall Module (o l'Inspection Module) possono essere installati su macchine differenti, oppure sulla stessa se però questa é fornita di una piattaforma compatibile con ognuno dei tre componenti. Le piattaforme supportate dai moduli sono le seguenti

Modulo

Sistema Operativo

Gui Client

Windows 9x-ME, Windows NT 4.0 con Service Pack 4-6a, Windows 2000 su processori Intel o compatibili

X Motif (Solaris, HP-UX 10.20, IBM AIX)

Management Module,

VPN/FireWall Module

Windows NT 4.0 con Service Pack 4-6a, Windows 2000 su processori Intel o compatibili

Solaris 2.6, Solaris Operating Environment 7 (conosciuto come Solaris 2.7), SPARC and x86

HP-UX 10.20, 11.0

IBM AIX 4.2.1, 4.3.2, 4.3.3

Red Hat Linux 6.1 (Versione del kernel 2.2.x)

La CheckPoint inoltre commercializza altri software che permettono di espandere le capacità del VPN-1/Firewall-1. I più significativi e utilizzati risultano essere :

FloodGate 1 : soluzione per l'amministrazione della ampiezza di banda delle comunicazioni sulla rete atta a gestire ed evitare le congestioni;
Meta IP 4.1, IP Management System: soluzione per la gestione di tutte le infrastrutture riguardanti gli indirizzi IP;
RealSecure 5.0: sistema automatizzato di rilevamento di intrusioni in real time. Il modulo manager del RealSecure provvede ad un accesso remoto sicuro al modulo Firewal 1 e ai componenti ad esso correlati.
Repoarting Module 4.1 SP-2: soluzione per la generazione dei report riguardati il flusso dei dati gestito dal modulo FloodGate 1
UserAutority API Specification : provvede alla identificazione delle informazioni per i vari prodotti Check Point

Prodotti VPN 1/Firewall 1

Prodotti Enterprise

Enterprise Security console

Questo prodotto include:

Management Module

La Enterprise Security Console è una console distribuita per amministrare più enforcement point. La console può amministrare un qualsiasi numero di moduli VPN/Firewall e moduli Inspection installati su altre macchine.

Enterprise Center

L'Enterprise Center include:

VPN 1/Firewall 1 Enterprise Security Console

Modulo VPN /Firewall

Il modulo VPN/Firewall può essere usato per proteggere un numero illimitato di nodi attraverso il Gateway (la macchina sul quale è installato).

Il Management Module e il VPN/Firewall Module possono essere installati sulla stessa macchina o su macchine differenti.

VPN 1/Firewall 1 Network Security Center

Questo prodotto include:

VPN 1/Firewall 1 Enterprise Center

Open Security Extension

Prodotti VPN 1/Firewall 1 per singolo Gateway

VPN 1/Firewall 1 /n (VPN 1 Firewall 1 /25 VPN 1 Firewall 1 /50 etc..)

Questo prodotto include :

Manangement Module

VPN/Firewall Module

I prodotti VPN 1/Firewall 1 rafforzano le restrizioni sul numero degli host protetti. Se queste restrizioni sono violate, VPN 1/Firewall 1darà un messaggio di errore.

Le restrizioni sono:

Numero di host

Non sono gestiti dal gateway più di n nodi, dove n è il numero indicato nel nome del prodotto. Per esempio, Firewall 1 /50 è ristretto a considerare non più di 50 nodi.

Per nodo si intende un computer a cui è assegnato un indirizzo IP. Una singola macchina multi-user è comunque considerata come un nodo singolo.

Questa restrizione in pratica definisce quanti host sono protetti dal modulo VPN-1 / Firewall-1.

Numero di interfacce esterne

Per tutti i prodotti VPN 1/Firewall1 /n, solo un'interfaccia esterna può essere collegata alla macchine Firewalled.

Non ci sono restrizioni, invece per quanto riguarda in numero di interfacce interne sulla macchine Firewalled.

no alla gestione di moduli esterni VPN/Firewall

Un'altra restrizione per questo prodotto è che non si può amministrare un modulo esterno VPN/Firewall. In ogni caso si può comunque sviluppare il Management Module in una configurazione Client-Server.

VPN 1/ Firewall 1 Concetti Base

Stateful Inspection Technology

La Stateful Inspection Technology, adottata nel Check Point Firewall , è capace di abbracciare tutti i requisiti definiti in precedenza. Una tecnologia, come il packet filtres o l'application-layer gateways, adottata in alcuni firewall, considera solo determinati aspetti, contrariamente a ciò che é possibile gestire con la tecnologia in esame. In figura le differenze principali.

Capacità di un Firewall	Packet Filters	Application-Layers Gateway	Stateful Inspection
Informazione delle comunicazioni	Parziale	Parziale	Si
Stato Communication Derived	No	Parziale	Si
Stato application Derived	No	Si	Si
Manipolazione dell'informazione	Parziale	Si	Si

La Stateful Inspection Technology implementa tutte le capacità necessarie al firewall che lavora a livello di rete. L'Inspection Module, che sarà analizzato in seguito, esamina ogni pacchetto che attraversa i punti chiave nella rete (gateway Internet, server, workstation, routers o switches), bloccando tutte le comunicazioni indesiderate. Un pacchetto non entra nella rete a meno che esso non soddisfi a pieno la Security Policy della rete. Un meccanismo di ricezione impone la generazione di un segnale di allarme, captato dall'amministratore del sistema firewall, su tutte le connessioni indesiderate . Il VPN 1 / Firewall 1 è completamente trasparente sia agli utenti che alle applicazioni, e coesiste con altri strumenti di sicurezza.

L'architettura Stateful Inspection utilizza un motore denominato Inspect il quale rafforza la politica di sicurezza sul gateway sul quale è installato. Il motore Inspect osserva tutti i livelli di comunicazione ed estrae solo i dati rilevanti che in seguito vengono utilizzati per la protezione della rete.

Il motore Inspect è programmabile usando il linguaggio Inspect. Tale linguaggio fornisce un'interfaccia per la definizione e l'aggiornamento delle regole di sicurezza e consente la configurazione stessa del Firewall, il che permette di includere nuove applicazioni, servizi e protocolli, senza che si installino in un secondo momento altri software. Per molte nuove applicazioni, incluse quelle sviluppate dall'utente finale, il comportamento può essere incorporato andando a modificare, con il Graphical User Interface, gli script esistenti e le applicazioni più complesse possono essere integrate alle specifiche del Firewall con l'ausilio del linguaggio Inspect.

In ogni caso la ChekPoint mette a disposizione sul suo sito web informazioni utili agli sviluppatori di software e la gamma di script per supportare nuovi programmi in commercio.

Il Motore Inspect

Quando è installato sul Gateway, il motore Inspect controlla il traffico passante attraverso la rete. Questo è dinamicamente caricato nel kernel del sistema operativo tra i livelli Data Link e Network. In pratica il modulo è caricato al più basso livello software. Operando in questo modo, il motore Inspect intercetta e ispeziona tutte le comunicazioni entranti e uscenti dalla rete su tutte le interfacce. Nessun pacchetto viene passato ai livelli software superiori finché il motore non verifica che questo soddisfi a pieno la politica di sicurezza.

Il motore Inspect esamina l'indirizzo IP, il numero di porta e ogni altra informazione utile per determinare se il pacchetto può essere accettato. Il Firewall 1 conosce la struttura interna della famiglia dei protocolli IP e le applicazioni costruite su questi fornendogli quindi la capacità di estrarre tutti i dati del pacchetto a seconda dell'applicazione che si sta utilizzando e di mantiene tutte le informazioni necessarie alle comunicazioni; in questo modo il programma può dinamicamente attivare o meno una connessione , se necessario.Questa capacità è pensata per provvedere un più alto grado di sicurezza per i protocolli più complessi.

Lo schema seguente mostra come le regole di base vengono inserite nella politica di sicurezza e i due modi con cui possono essere create: o con il GUI client o editando, con un qualsiasi text editor, uno script in linguaggio Inspect.