5

5. Caso pratico: Checkpoint Firewall-1

Firewall-1 [14] fornisce un meccanismo completo e facile da utilizzare per controllare i tentativi di accesso ai servizi presenti sulla LAN. Esso ispeziona ogni pacchetto diretto verso i punti chiave della rete (gateway, server, workstation, ecc.) bloccando tutti i tentativi di connessione non graditi. Firewall-1 include dei meccanismi di monitoraggio del sistema che avvertono l'amministratore degli eventuali tentativi di violazione della sicurezza. Firewall-1 è completamente trasparente agli utenti e alle applicazioni, può coesistere con altri prodotti per la sicurezza e non necessita di riconfigurazioni hardware o software degli elementi che appartengono alla rete protetta.

Il modulo d'ispezione di Firewall-1 risiede nel kernel del sistema operativo sotto il livello di rete al livello software più basso. Ispezionando le comunicazioni a questo livello è possibile intercettare ed analizzare tutti i pacchetti prima che raggiungano il sistema operativo (Figura 12).

Figura 12. Algoritmo di ispezione dei pacchetti

Passiamo ora alla descrizione del prodotto.

5.1 Politiche di sicurezza

Il Security Policy è l'interfaccia che permette all'amministratore del sistema di definire le regole di sicurezza. L'interfaccia grafica è costituita da una serie di menù a tendina, una barra degli strumenti in cui ogni icona è un collegamento ad un comando presente in uno dei menù (la Figura 15 spiega il significato di ogni icona) e la tabella delle regole (Figura 16). In questo caso la tabella contiene la sola regola di default, che viene inserita automaticamente in ogni nuova tabella delle regole. Questa regola viene creata perché il Firewall-1 si basa sul principio per cui tutto quello che non è specificatamente ammesso è negato. Quindi fino a quando non verrà inserita un'altra regola, tutti i pacchetti passanti per il firewall verranno bloccati.

Figura 14. Security Policy

La seguente figura spiega il significato delle icone appartenenti alla barra degli strumenti di Firewall-1 Security Policy.

Figura 15. Descrizione icone

La seguente tabella spiega il significato di ognuno dei campi della tabella delle regole.

Elemento	Definizione
No.	Numero della regola, definisce in quale ordine Firewall-1 scandisce le regole.
Source	La sorgente del pacchetto ( può essere un qualsiasi oggetto di rete).
Destination	La destinazione del pacchetto ( può essere un qualsiasi oggetto di rete).
Services	Protocolli: TCP, HTTP, HTTPS, SMTP, UDP, RPC e ICMP.
Action	Cosa fare con il pacchetto.
Track	Tipo di notifica del pacchetto all'amministratore.
Install On	Su quale oggetto bisogna installare la politica.
Time	Definisce in che periodo di tempo la regola è effettiva.
Comment	Utilizzato dall'utente per la descrizione della regola.

Figura 16. Descrizione campi della tabella delle regole

In Firewall-1 ogni elemento definito dall'amministratore usato per implementare una politica è un oggetto.

Esistono 7 gestori degli oggetti:

1) Gestore degli oggetti di rete

2) Gestore degli utenti

3) Gestore dei servizi

4) Gestore delle risorse

5) Gestore del tempo

6) Gestore dei server

7) Gestore delle chiavi

5.1.1 Gestore degli oggetti di rete

Un oggetto di rete è un qualsiasi elemento in contatto con la rete. Attraverso questo gestore vengono definite reti, sottoreti, host, gateway, router e gruppi logici di server, che saranno utilizzati come oggetti nei campi source, destination e install on della tabella delle regole.

Figura 17. Gestore degli oggetti di rete

5.1.2 Gestore degli utenti

Definisce gli utenti (singoli o gruppi) che hanno accesso alle risorse presenti sulla rete. L'amministratore procede alla creazione del profilo utente attraverso una form d'inserimento dati, quali nome, appartenenza a gruppi e data di scadenza dell'account. Un oggetto utente può essere usato nella tabella delle regole nel campo source, specificando inoltre nel campo azione l'opzione Authentication.

Figura 18. Gestore degli utenti

5.1.3 Gestore dei servizi

Firewall-1 controlla gli accessi ad host e reti basandosi, oltre agli indirizzi source e destination, anche sul servizio richiesto da ogni pacchetto di dati. E' possibile scegliere fra oltre 100 servizi predefiniti, applicazioni e protocolli (Es. Real-Audio). Oltre a servizi che usano TCP, UDP, RPC e ICMP è possibile definirne altri attraverso l'opzione Other o raggrupparne alcuni tramite l'opzione Group. Infine l'opzione Port Range permette di specificare un intervallo di porte su cui accettare comunicazioni a secondo del protocollo usato (TCP, UDP, FTP).

Figura 19. Gestore dei servizi

5.1.4 Gestore delle risorse

Definisce le scansioni anti-virus dei dati e le limitazioni su indirizzi Internet, per le esecuzioni di applet JAVA e comandi Active-X.

Figura 20. Gestore delle risorse

Nella tabella in basso riportiamo la descrizione degli elementi presenti in figura.

Forbidden_URL_List1	Elenco degli indirizzi Internet ai quali non è possibile accedere.
FTP_Get_Virus_Scan	Controllo anti-virus automatico dei dati scaricati tramite FTP.
JAVA_ActiveX_Screen	Controllo delle applet Java e comandi Active-X.
Scan-Cure Virus	Controllo anti-virus degli allegati alle e-mail.
UFP_Web_Filter	Filtro per indirizzi internet basato su protocollo UFP (proprietario CheckPoint)

Figura 21. Descrizione elementi

5.1.5 Gestore del tempo

Gli oggetti di tipo tempo sono usati per specificare i periodi di tempo durante i quali sono applicate le regole. In ogni oggetto è possibile specificare le ore, i giorni della settimana o le date. Tali oggetti vanno inseriti nel campo Time della tabella delle regole.

Figura 22. Gestore del tempo

5.1.6 Gestore dei server

Un oggetto server rappresenta un server attivo su un host specifico. Gli oggetti server disponibili sono:

Figura 23. Gestore dei server

Il significato degli oggetti presenti nel gestore è spiegato nella seguente tabella:

UFP [16]	Acronimo di URL Filtering Protocol. E' un'applicazione sviluppata da Check-Point che permette l'integrazione con applicazioni di altri fornitori per catalogare e controllare gli accessi ad un URL specifico.
CVP [17]	Acronimo di Content Vectoring Protocol. E' un protocollo aperto, usato per l'ispezione e la sicurezza dei contenuti.
RADIUS [18]	E' un server utilizzato per i servizi di autenticazione.

Figura 24. Descrizione tipi di server

5.1.7 Gestore delle chiavi

Per aumentare ulteriormente la sicurezza di una rete la codifica dei dati diventa una parte essenziale della comunicazione. Per una trattazione più approfondita rimandiamo al paragrafo 5.4.

5.1.8 Costruire una regola

Firewall-1 intercetta e ispeziona tutte le comunicazioni che cercano di attraversare il firewall e confronta ognuna di esse con le regole presenti fra le politiche che devono essere applicate, fin quando non ne viene trovata una in cui l'indirizzo sorgente, indirizzo destinazione e servizio richiesto corrispondono a quelli della connessione che si sta tentando di stabilire. Se non vengono trovate corrispondenze, la connessione non potrà essere stabilita, perché Firewall-1 attua il metodo per cui tutto quello che non è esplicitamente permesso, è vietato. Se invece viene trovata una corrispondenza l'azione specificata nella regola (Action) viene applicata e viene registrato l'esito del pacchetto (Track).

Figura 25. Security Policy

Per costruire una regola, bisogna specificare sorgente, destinazione, servizio richiesto scegliendoli tra quelli precedentemente creati dai gestori, quindi bisogna scegliere l'azione da intraprendere.

Figura 26. Azioni

Nella tabella in basso riportiamo la descrizione delle diverse azioni possibili:

Accept	Consente la connessione
Drop	Rifiuta la connessione
Reject	Rifiuta la connessione notificandolo all'utente
User Auth	Richiesta autenticazione dell'utente
Client Auth	Richiesta autenticazione dei client remoti
Session Auth	Consente la connessione diretta alla risorsa rendendo il firewall trasparente all'utente
Encrypt	Codifica i dati scambiati all'interno di reti protette da firewall
Client Encrypt	Codifica i dati scambiati con client remoti non protetti da firewall

Figura 27. Descrizione azioni

Infine bisogna specificare il tipo di traccia che si vuole lasci ogni tentativo di connessione.

Figura 28. Possibili tipi di traccia

Nella tabella in basso riportiamo la descrizione delle possibili tracce:

Short	Riporta solo alcuni dati dei pacchetti
Long	Riporta tutti i dati di ogni pacchetto
Account	Riporta anche la durata dell'intera connessione e i byte trasferiti
Alert	Avverte l'amministratore quando questa regola è attuata
Mail	Notifica all'amministratore quando questa regola è attuata, tramite e-mail
Snmp Trap	Consenti l'analisi della comunicazione da parte di strumenti esterni alla rete
UserDefined	Definito dall'utente

Figura 29. Descrizione delle tracce