CheckPoint FireWall-1 3.0

Bezpečnostní řešení pro platformy UNIX a Windows NT.


Při současném tempu růstu Internetu a zvyšování počtu organizací, které čerpají z bohaté nabídky služeb Internetem poskytovaných, se stále častěji dostává do popředí problematika bezpečnosti. Mezi používané ochranné prostředky patří i tzv. firewally. V této oblasti zaujímá vedoucí postavení na trhu izraelská firma CheckPoint se svým produktem FireWall-1.

Technologie

Firewally se dělí na dvě základní skupiny - paketové filtry a aplikační brány. Paketové filtry pracují na třetí (síťové) vrstvě OSI modelu. Vyznačují se vysokou rychlostí, ale nízkou úrovní zabezpečení. Nejčastěji jsou implementovány na směrovačích, což mohou být jak specializovaná zařízení, tak i počítače s upraveným operačním systémem. Aplikační brány, pracující na sedmé (aplikační) vrstvě OSI modelu, jsou podstatně bezpečnější. Mezi jejich hlavní nevýhody naopak patří nízká rychlost a nutnost vlastnit pro každou službu specializovanou aplikační bránu.
FireWall-1 využívá novou architekturu nazvanou Stateful Multi-Layer Inspection Technology, která eliminuje nedostatky předchozích dvou řešení. Kontrolu provádí mezi druhou (linkovou) a třetí (síťovou) vrstvou referenčního modelu. Vzhledem ke skutečnosti, že kontrolu provádí na nejnižší možné softwarové úrovni (síťová vrstva je první softwarovou vrstvou), je s to ochránit nejen vnitřní síť, ale i sám sebe. FireWall-1 je navíc schopen analyzovat data z celého paketu a získávat tak informace určené původně vyšším vrstvám referenčního OSI modelu. Tyto údaje se ukládají do stavové tabulky a jsou využívány např. pro sledování nespojovaných služeb jako jsou protokoly UDP nebo RPC.

Architektura

FireWall-1 se skládá ze dvou softwarových modulů: Control Module a FireWall Module.
Control Module je tvořen grafickým uživatelským rozhraním (GUI - Graphical User Interface) a řídicím serverem (Management Server). GUI slouží k ovládání řídicího serveru, který spravuje databázi FireWall-1, obsahující informace o pravidlech, síťových objektech, službách, uživatelích atd. Obě součásti kontrolního modulu mohou být nainstalovány na stejném počítači nebo na dvou různých strojích.
FireWall Module je určen k uplatňování bezpečnostní politiky na chráněném systému. Zahrnuje inspekční modul (Inspection Module), který analyzuje všechny procházející pakety mezi linkovou a síťovou vrstvou, firewallového démona (fwd), SNMP démona (snmpd) a tzv. bezpečnostní servery (Security Servers), jež v případě potřeby kontrolují procházející pakety na aplikační úrovni.

Instalace

Před vlastní instalací se nejprve musíte rozhodnout, jakým způsobem chcete firewall zkonfigurovat a na kterých počítačích budou instalovány jaké komponenty systému FireWall-1. S řešením tohoto úkolu vám pomůže jedna z pěti dodávaných příruček - Getting Started with FireWall-1.
Pokud máte vše naplánováno, můžete se bez obav pustit do instalace. Tu lze zvládnout snadno a rychle díky průvodci, který vás provází celým instalačním procesem. Po skončené instalaci nejsou stále ještě definována žádná bezpečnostní pravidla, a proto mohou pakety nerušeně putovat mezi sítěmi. Aby se této nebezpečné situaci předešlo, můžete už v průběhu instalace zamezit předávání IP paketů (volba Control IP Forwarding). Tím zajistíte bezpečnost i pro případ, že bude firewall z nějakých důvodů mimo provoz (např. bootování systému).

Bezpečnostní politika

Po úspěšně skončené instalaci a následném restartu počítače můžeme přejít k nejdůležitějšímu kroku, a to k nastavení bezpečnostní politiky. K jejímu vytváření slouží v prostředí Windows aplikace Security Policy, která představuje grafické uživatelské rozhraní kontrolního modulu. Po jejím spuštění se objeví základní okno, jež kromě menu a nástrojové lišty obsahuje 2 karty - Security Policy a Address Translation. Obě jsou zatím prázdné.
Bezpečnostní politika se vytváří v několika poměrně jednoduchých krocích. V prvním z nich se definují síťové objekty (počítače, sítě, domény, směrovače, přepínače, skupiny objektů, logické servery, rozsahy adres) a jednotliví uživatelé včetně příslušných skupin. Není nutno definovat objekty pro všechna zařízení, jež se nacházejí v síti, ale pouze pro ta, která hodláte použít v databázi pravidel.
Dále je třeba definovat všechny speciální služby, které používáte ve vaší síti. Ve většině případů můžete tento krok vynechat, protože FireWall-1 nabízí více než 140 nejběžněji používaných služeb již předdefinovaných.
Jakmile máte nadefinovány síťové objekty, uživatele a služby, můžete se pustit do sestavování databáze pravidel (Rule Base). Každé pravidlo je charakterizováno následujícími 7 položkami: Source - objekt, z něhož přichází požadavek komunikace; Destination - objekt, na který směřuje požadavek komunikace; Service - druh požadované služby (např. ftp, http); Action - určuje, co se má stát s pakety, které vyhovují prvním 3 položkám (povolit, zahodit, odmítnout, šifrovat/dešifrovat, provést ověření atd.); Track - stanovuje, zda se má provést pouze zápis do logového souboru nebo spustit alarm; Install On - síťové objekty, na nichž bude pravidlo uplatňováno (např. gateway, směrovač); Time - časová perioda, po kterou má být pravidlo aktivní. Poslední (osmou) položkou je komentář (Comment), který má pouze informativní význam pro správce systému.
Při vlastní kontrole firewall porovnává pakety s prvními třemi položkami pravidel (Source, Destination a Service) postupně od shora dolů. První pravidlo, jež odpovídá informacím získaným z paketu, je aplikováno. FireWall-1 řídí provoz sítě podle principu “co není výslovně povoleno, je zakázáno”. Aby mohl tento princip uplatnit, přidá automaticky na konec databáze pravidlo, které zaručí odmítnutí všech paketů, jež neodpovídají žádnému z výše uvedených pravidel.
Po nadefinování kompletní databáze pravidel je potřeba bezpečnostní politiku nainstalovat na příslušné síťové objekty. To lze jednoduše provést volbou Install z menu Policy. Během této operace je nejprve provedeno ověření správnosti zadaných pravidel. Tuto kontrolu můžete spustit i samostatně (Policy -> Verify). Následuje konverze ASCII souboru (rule_base.W) představujícího databázi pravidel v textové podobě na Inspection Script (rule_name.pf), z kterého je kompilací vygenerován Inspection Code (rule_base.fc). Na závěr je inspekční kód přenesen na příslušné cílové objekty.

Log Viewer

umožňuje prohlížet, filtrovat a vyhledávat záznamy v logovém souboru. Každá položka tohoto souboru odpovídá některé události, jež má být podle databáze pravidel zaevidována. Navíc jsou zde zaznamenány všechny události, které spouštějí alarm (např. nainstalování nebo odinstalování bezpečnostní politiky). Požadovaný formát záznamu je určen obsahem položky Track v definici příslušného bezpečnostního pravidla. Jestliže necháte položku Track prázdnou, nebudou se do logového souboru zapisovat žádné údaje.
Nezbytnou součástí každého firewallu je i možnost reagovat na události ovlivňující bezpečnost. K tomu lze ve FireWall-1 s úspěchem využít alarmů. Spuštění alarmu může totiž vyvolat předem určený příkaz operačního systému. Tím dostává administrátor do ruky mocný nástroj, díky němuž může např. v případě ohrožení automaticky přerušit síťové spojení s Internetem.

Další možnosti

FireWall-1 nabízí řadu dalších funkcí, které lze od firewallu této třídy očekávat.
Pokud chcete rychle získat přehled o aktuálním stavu všech vašich firewallů, není nic jednoduššího, než spustit aplikaci System Status. Zde je každý systém reprezentován ikonou, která charakterizuje jeho stav. U každé ikony jsou uvedeny také následující údaje: datum a čas, kdy byla nainstalována bezpečnostní politika, jméno objektu, datum a čas poslední aktualizace, počet paketů prověřených firewallem, počet zahozených a odmítnutých paketů a počet paketů zanesených do logového souboru.
Jednou z velmi důležitých vlastností je i převod síťových adres (NAT - Network Address Translation), jenž umožňuje použít pro připojení k Internetu i neregistrované IP adresy, a navíc skrývá interní síťové adresy před uživateli veřejné sítě. FireWall-1 podporuje 2 druhy překladu adres - dynamický překlad (větší počet vnitřních adres je převeden na jednu vnější) a statický (každá neregistrovaná vnitřní adresa má přidělenu jednu registrovanou vnější adresu). Převod síťových adres lze konfigurovat 3 různými způsoby - automaticky (převod adres se definuje ve vlastnostech příslušného síťového objektu), vytvářením převodních pravidel (velice podobné vytváření bezpečnostních pravidel), anebo z příkazového řádku (příkaz fwxlconf).
FireWall-1 podporuje také technologii virtuálních privátních sítí (VPN - Virtual Private Network). Pomocí VPN je možné vytvářet bezpečná propojení privátních sítí přes Internet. Bezpečnost přenášených dat je zajištěna šifrovacími algoritmy DES, FWZ1 nebo RC4. Díky nadstavbě FireWall-1 SecuRemote se mohou přes Internet k privátní síti bezpečně připojit i jednotliví uživatelé s Windows 95/NT.
Novinkou verze 3.0 je kontrola obsahu dat (Content Security). FireWall-1 nyní nabízí kontrolu dat pro protokoly HTTP, SMTP a FTP za použití tzv. bezpečnostních serverů (Security Servers). Díky této vlastnosti můžete snadno provádět antivirovou kontrolu přenášených souborů, odstínit Java aplety, prvky ActiveX, nevhodná URL atd.

Závěr

FireWall-1 nepochybně patří ke špičce ve své kategorii. Jeho velkou výhodou je, že se neorientuje pouze na Internet, ale nabízí celkové řešení bezpečnosti ve firemní síti. Jestliže jste správcem firemní sítě a chcete mít klidný spánek, neměl by FireWall-1 uniknout vaší pozornosti.


==vložené články==

Pro vaši firmu

FireWall-1 3.0 od CheckPoint Software Technologies je softwarový balík, určený k zajištění bezpečné komunikace na platformách UNIX a Windows NT v prostředí Internetu a intranetu včetně vzdáleného přístupu. Vhodný je zejména pro nasazení ve středních a velkých sítích (nejmenší varianta je určena pro 25 síťových uzlů). Tento produkt lze využít k vytvoření integrované bezpečnostní politiky, řízení přístupu, správě směrovačů, autentizaci, kódování, překladu síťových adres, kontrole obsahu dat, vytváření VPN a monitorování síťového provozu. Výhody tohoto firewallu spočívají především ve vysoké míře zabezpečení, propustnosti, transparentnosti pro uživatele, výkonnosti, snadné rozšiřitelnosti a kontrole přenášených dat.


Slovníček pojmů

Firewall - kombinace hardwarových a softwarových prostředků, která chrání síť před neautorizovaným a potenciálně nebezpečným přístupem zvenčí.

Referenční model OSI (Reference Model of Open Systems Interconnection) - standard umožňující vzájemné propojování počítačových systémů různých typů a koncepcí. Skládá se z následujících 7 vrstev: fyzická (Physical), linková (Data Link), síťová (Network), transportní (Transport), relační (Session), prezentační (Presentation) a aplikační (Application).


Tabulka

FireWall-1 3.0 - podporované platformy


GUI
Management Server
FireWall Module
operační systém
Windows 95
Windows NT 3.51 a 4
X/Motif
Open Look
Windows NT 3.51 a 4 (pouze Intel)
SunOS 4.1.3 a 4.1.4
Solaris 2.3, 2.4 a 2.5
HP-UX 9 a 10
IBM AIX 4.1.5 a 4.2.1
Windows NT 3.51 a 4 (pouze Intel)
SunOS 4.1.3 a 4.1.4
Solaris 2.3, 2.4 a 2.5
HP-UX 9 a 10
IBM AIX 4.1.5 a 4.2.1
HW platforma
dle operačního systému
Sun SPARC
Intel x86 a Pentium
HP PA-RISC 700/800
IBM RS-6000
Sun SPARC
Intel x86 a Pentium
HP PA-RISC 700/800
IBM RS-6000




CheckPoint FireWall-1 3.0
+ vysoká míra zabezpečení
+ vysoký výkon
+ množství funkcí
+/- cena