Narzędzia osobiste
Integrator Integrator  > Archiwum  > Archiwum Wydania Online  > Wydanie 1999  > Nr 11-12/1999 (38)  > Praktyczne wdrożenie systemu firewall w oparciu o rozwiązania CheckPoint Software Technologies
Integrator nrI/2017(137)
 
 

Praktyczne wdrożenie systemu firewall w oparciu o rozwiązania CheckPoint Software Technologies

Ogólne informacje na temat metod zabezpieczeń dostępu do sieci prywatnych

 

Zanim pojawiły się rozwiązania wykorzystujące pełną rejestrację kontekstu aplikacji i kontekstu transmisji w charakterze kryteriów uprawniania czy odrzucania ruchu do i z sieci zabezpieczonych, stosowano metody zabezpieczeń bazujące na filtrach pakietów działających na routerach a także serwery Proxy dla poszczególnych rodzajów usług.
Metody te stosowane są nadal dla ochrony sieci, gdzie nie jest wymagana restrykcyjna kontrola transmisji, wykorzystująca filtrację pakietów na podstawie danych pochodzących z wszystkich warstw stosu protokołów TCP/IP. Filtracja pakietów na routerach używa na jest także jako uzupełnienie zabezpieczeń implementowanych przez kompleksowo działające systemy firewall.

Filtracja pakietów

Filtracja pakietów wykonywana jest na ogół na routerach i przebiega w oparciu o mechanizmy list dostępu (ACL - Access Control Lists). Kryteria filtracji tworzy się na podstawie informacji zapisanych w nagłówkach pakietów warstwy sieciowej (protokół IP dla stosu TCP/IP), często także w nagłówkach segmentów czy datagramów protokołów warstwy transportowej (TCP i UDP dla stosu TCP/IP).
W najprostszym przypadku filtry pakietów bazują na określeniu uprawnionych źródłowych adresów hostów, sieci czy podsieci.
W bardziej złożonych zastosowaniach tworzy się filtry opierające swoje działanie dodatkowo na adresach docelowych hostów, sieci i podsieci, protokołach wskazywanych w polu PROTOKÓŁ datagramu IP oraz numerach portów (pole PORT datagramu UDP czy segmentu TC P) oznaczających określoną aplikację stosu TCP/IP.
Zalety filtracji pakietów na routerach to większa wydajność działania niż filtracja na serwerach Proxy oraz możliwość jej zastosowania bez konieczności ponoszenia kosztów zakupu, instalacji i eksploatacji dodatkowych urządzeń i oprogramowania. Wady tej me tody to przede wszystkim ograniczenie warunków filtracji tylko do informacji zawartych w nagłówkach datagramów IP, datagramów UDP i segmentów TCP.
Router nie rejestruje i nie przetwarza danych o kontekście transmisji, co sprawia, ze ten typ zabezpieczeń cechuje ograniczona skuteczność przeciwdziałania atakom przez fałszowanie nagłówków (np. IP spoofing) czy atakom typu denial of service, których prz ykładem jest SYN-flooding (wyczerpanie limitu możliwych do obsłużenia połączeń TCP przez router lub host przez wygenerowanie i wysłanie do niego dużej liczby segmentów TCP z ustawionym bitem SYN, co stanowi żądanie nawiązania sesji TCP). Klasyczne filtry pakietów na routerach nie bronią także przed atakami przez przesłanie na przykład w załącznikach wiadomości poczty elektronicznej wirusów czy wrogich apletów Java i ActiveX.
Jako wadę klasycznych filtrów pakietów można uważać także brak lub bardzo ograniczone możliwości rejestracji zdarzeń związanych z ich działaniem oraz powiadamiania o naruszeniu reguł polityki bezpieczeństwa. Nie ma też żadnych automatycznie uruchamianych procedur blokowania ataków.

Serwer Proxy

Serwery Proxy zwane także często bramkami warstwy aplikacji (aplication layer gateway) implementują funkcje firewall-a na poziomie warstwy aplikacji. Oferują skutecznie działające sposoby filtrowania pakietów, a przez to zapewniają dość wysoki poziom zabezpieczeń. Serwer Proxy posiada pełną wiedzę na temat kontekstu aplikacji obsługiwanych połączeń (informacje pochodzące od danej aplikacji oraz innych aplikacj i na przykład odpowiedzialnych za autentykację użytkownika), lecz na ogół ograniczoną wiedzę na temat kontekstu komunikacyjnego (informacje pochodzące z wszystkich warstw stosu TCP/IP oraz informacje o innych wcześniej nawiązanych aktywnych sesjach w postaci na przykład numerów portów docelowych i źródłowych sesji TCP). Ograniczona wiedza o kontekście komunikacyjnym połączeń stanowi wadę serwerów Proxy. Inną wadą jest brak możliwości obsługi transmisji UDP i RPC. Każda usługa wymaga na ogół oddzielnego serwera Proxy, co przy dużej liczbie usług i jednoczesnym dużym obci ążeniu ruchem w ramach poszczególnych usług może znacznie obciążyć komputer, na którym uruchomione są serwery Proxy i w konsekwencji doprowadzić do znacznego spadku wydolności sieci. Usługi Proxy nie są na ogół transparentne dla sesji pomiędzy klientem i serwerem, stąd konieczność rekonfiguracji oprogramowania klienta. Serwer Proxy jest silnie zależny od systemu operacyjnego komputera, na którym działa. Funkcjonując na poziomie warstwy aplikacji, nie chroni stosu TCP/IP i pośrednio także systemu operacyjn ego komputera przed atakami.

Dlaczego CheckPoint FireWall-1

CheckPoint FireWall-1 jest produktem pozwalającym na wdrożenie kompleksowych rozwiązań polityki bezpieczeństwa sieci, obejmujących nie tylko filtrowanie pakietów, lecz także zaawansowane metody autentykacji, enkrypcji, wykrywania ataków oraz automatyczneg o ich blokowania, monitorowania zawartości pakietów i odrzucania na przykład takich załączników wiadomości poczty elektronicznej, które zawierają wirusy lub wrogie aplety Java i ActiveX. CheckPoint FireWall-1 oferuje także możliwość konfiguracji translacji adresów w oparciu o protokół Network Address Translation (NAT), mechanizmy śledzenia stanu aktywnych połączeń, rejestracji informacji o połączeniach (accounting) oraz powiadamiania o naruszeniu reguł polityki bezpieczeństwa.
CheckPoint FireWall-1 może pełnić rolę serwera Proxy dla różnych usług sieciowych. Istnieje ponad 100 predefiniowanych konfiguracji dla standardowych aplikacji sieciowych oraz możliwość rozbudowy tego zbioru o nowe, własne konfiguracje dla pozostałych apl ikacji.
W przeciwieństwie do serwerów Proxy, przetwarzanie pakietów na FireWall-1 nie generuje nadmiernego obciążenia procesora.
Na przyczyny tego składa się implementacja głównego mechanizmu filtrującego w postaci tzw. INSPECT engine w kernelu systemu operacyjnego, przetwarzanie pakietów bezpośrednio ponad warstwą interfejsu sieciowego (warstwa druga modelu ISO OSI) oraz brak potr zeby uruchamiania oddzielnych procesów-demonów dla każdej usługi sieciowej.
Kompleksowość rozwiązań bazujących na CheckPoint FireWall-1 obejmuje także możliwość tworzenia sieci VPN (Virtual Private Network), czyli bezpiecznych, szyfrowanych, logicznych kanałów transmisji wykorzystujących łącza sieci publicznych.
Niezaprzeczalną zaletą oprogramowania CheckPoint FireWall-1 jest jego otwarta architektura i niespotykana w tej kategorii produktów skalowalność. Produkt ten osiąga to za przyczyną zgodności z opracowana przez firmę CheckPoint Software Technologies i udos tępnioną w formie API twórcom oprogramowania innych firm platformą OPSEC (Open Platform for SECurity). Dzięki zgodności z OPSEC oprogramowanie niezależnych firm można łatwo integrować z FireWall-1 oraz innymi produktami CheckPoint Software Technologies. O programowanie to może mieć różny charakter i pełnić w systemie firewall różne funkcje. Typowymi przykładami zastosowań jest sprawdzanie zawartości pakietów pod katem wykrywania wirusów i wrogich apletów Java/ActiveX, a także filtracja URL pozwalająca na o graniczenie dostępu do usług WWW.

Ogólna charakterystyka produktu
CheckPoint Firewall-1 Enterprice product tworzą trzy moduły - Firewall Module, Management Module i interfejs graficzny (GUI). Wszystkie trzy moduły mogą być zainstalowane na tym samym lub na trzech różnych komputerach.
Opis standardowych modułów
Moduł Firewall

Moduł Firewall jest tą częścią systemu, która działa na komputerze stanowiącym styk pomiędzy siecią wewnętrzną i zewnętrzną i odpowiada za implementację reguł polityki bezpieczeństwa sieci (kontrola dostępu, filtracja pakietów, autentykacja sesji, klientó w i użytkowników), logowanie zdarzeń związanych z realizacją polityki bezpieczeństwa, zachodzących na firewall-u i wszystkich zarządzanych przez niego stykach sieci zabezpieczonych z sieciami zewnętrznymi (routery).
Funkcjonalność modułu Firewall obejmuje także translację adresów w protokole Network Address Translation (NAT), zaawansowane metody auditingu, synchronizację redundantnych firewall-i oraz śledzenie zawartości pakietów (ochrona antywirusowa, filtracja wrog ich apletów Java i ActiveX).
Na moduł Firewall składają się: moduł Inspection, realizujący politykę bezpieczeństwa na poziomie jądra systemu operacyjnego, procesy-demony, odpowiadające za komunikację z modułem zarządzającym oraz Security Servers, odpowiedzialne za kontekstową analizę danych.
Dodatkowo można zainstalować moduł Encryption umożliwiając tworzenie bezpiecznych połączeń VPN pomiędzy dwoma FW-1 lub pomiędzy FW-1 a klientem SecuRemote na komputerze PC.

Moduł Inspection

Moduł Inspection stanowi podstawowy element logicznej struktury firewall-a. Realizuje on reguły technologii Stateful Inspection, gwarantującej najwyższy poziom zabezpieczeń sieci.
Technologia Stateful Inspection polega na analizie wszystkich pojawiających się na interfejsach firewall-a pakietów. Śledzeniu podlegają informacje z nagłówków jednostek informacji (ramek, segmentów, pakietów, datagramów) właściwych dla wszystkich warstw stosu protokołów TCP/IP. Firewall rejestruje dynamicznie kontekst strumieni danych. Dotyczy to nie tylko wymiany danych w ramach sesji protokołów zorientowanych połączeniowo (np. TCP) lecz także transmisji datagramowej (np. UDP). Stateful Inspection pozwa la także na zabezpieczenie transmisji realizowanej w warstwie sesji stosu TCP/IP przez Remote Procedure Call (RPC). Protokół RPC obsługuje interakcje pomiędzy klientem i serwerem na przykład w środowisku sieciowych systemów plików (NFS), bazując na dynamicznym mapowaniu portów.
Moduł Inspection rezyduje w kernelu systemu, poniżej warstwy trzeciej (warstwa sieciowa) stosu TCP/IP. Lokalizacja modułu Inspection poniżej programowych warstw stosu TCP/IP pozwala skutecznie zabezpieczyć przed atakami sam stos TCP/IP firewall-a. Nieupra wnione pakiety są bowiem odrzucane zanim osiągną wyższe, programowe warstwy stosu. Nie jest więc możliwy atak na system operacyjny i zasoby komputera pracującego jako firewall.
Obok tej niewątpliwie istotnej funkcjonalności technologia Stateful Inspection pozwala także na ograniczenie do minimum wykorzystania zasobów komputera. Lokalizacja mechanizmu Stateful Inspection w kernelu eliminuje potrzebę przetwarzania pakietów na pozi omie aplikacji przez specjalnie w tym celu uruchomione procesy, których działanie, zwłaszcza przy dużym nasileniu ruchu pakietów przechodzących przez firewall mogłoby doprowadzić do poważnego spadku wydajności sieci.
Na moduł Inspection składa się oprogramowanie INSPECT Engine (Kernel Attachment - kod w module kernela implementujący funkcje silnika INSPECT, Kernel Virtual Machine - oprogramowanie wykonujące skompilowany kod reguł polityki bezpieczeństwa, Kernel Address Translation - komponent odpowiedzialny za translację adresów w protokole NAT oraz za translacje portów PAT, Kernel Encryption - komponent realizujący funkcj e enkrypcji/dekrypcji, Kernel Logging - odpowiada za transmisję komunikatów i alarmów kernela do procesów demonów w celu ich późniejszej analizy, Kernel IOCTL Handler - komponent zapewniający możliwość komunikacji procesów- demonów z kernelem za pomocą mechanizmu funkcji systemowej ioctl()), skompilowana postać kodu opisującego reguły polityki bezpieczeństwa (INSPECT Code) oraz dynamiczne tablice kontekstu transmisji.

Demony

Procesy-demony wykonują w systemie firewall te czynności, których nie potrafią wykonać moduły kernela ze względu na właściwe im ograniczenia. Do czynności takich należą na przykład operacje plikowe typu otwarcie czy zamkniecie pliku lub też na przykład wy generowanie pakietu IP.
Kod procesów-demonów firewall-a zawiera niektóre procedury narzędzi dostępnych z poziomu linii poleceń. Zduplikowanie tych procedur ma na celu zapewnienie zdalnego wykonania pewnych operacji, bez konieczności logowania się na docelowym komputerze.
Działanie procesów-demonów modułu Firewall ma na celu zapewnienie komunikacji pomiędzy modułami (na przykład modułem Firewall i modułem zarządzającym), klientami i hostami.
Procesy-demony firewall-a to Daemon Command Handler (obsługa otrzymanych od demona komunikatora narzędzi dostępnych z poziomu linii poleceń na zdalnym komputerze, wykorzystuje mechanizmy autentykacji i enkrypcji dla zabezpieczenia poufności komunikacji z demonem komunikatorem), Daemon Logging (współpraca z kernelowym modułem odpowiedzialnym za logging, generuje komunikaty i alarmy, komunikuje się z Daemon Kernel Trap Handler), Daemon Kernel Trap Handler (obsługa komunikatów od modułów firewall kernela), Daemon IOCTL (zapewnia komunikację z kernelem przez Kernel IOCTL Handler), Daemon Inet (podobny w działaniu do procesu inetd w systemach Unix, odpowiedzialny za nasłuch na portach przypisanych serwerom odpowiedzialnym za skanowanie zawartości pakietów oraz za uruchamianie tych serwerów, względnie przekazywanie zadań już uruchomionym serwerom).
W środowisku, w którym funkcje zarządzające zostały oddzielone od funkcji firewall-a musi istnieć możliwość efektywnej i bezpiecznej komunikacji modułów firewall z modułami zarządzającymi. Taka komunikacja działa pomiędzy komputerem funkcjonującym jako firewall i stacją zarządzającą. Mechanizmy tej komunikacji uwzględniają przesyłanie zadań do wykonania na zdalnej maszynie, przesyłanie komunikatów loggingu, alarmó w oraz propagację reguł polityki bezpieczeństwa. Za realizację tych funkcji odpowiada Daemon Communicator.

Serwer Security

Serwery Security są to osobne procesy, które umożliwiają dodatkową ochronę danych i implementację polityki bezpieczeństwa na poziomie wybranych aplikacji.

Dla TELNETa i RLOGINu serwery security umożliwiają wprowadzenie wymagania autentykacji użytkownika przed umożliwieniem mu połączenia. Autentykacja dotyczy również serwisów FTP i HTTP, przy czym dla dwóch ostatnich serwery security umożliwiają również kont ekstową ochronę danych. Serwer security dla SMTP umożliwia wyłącznie kontekstową ochronę danych, w tym przypadku nie ma autentykacji.
Moduł zarządzania

Moduł zarządzający może służyć do konfiguracji i nadzorowania działania wielu stacji firewall. Interfejsem modułu zarządzającego jest oprogramowanie klienta GUI zapewniające dostęp do usług serwera zarządzania. Serwer zarządzania operuje na bazach reguł b ezpieczeństwa, obiektów sieciowych, usług, użytkowników, pozwalając na tworzenie i modyfikację tych baz oraz dostęp do zgromadzonych w nich danych. Jeden moduł zarządzania może być wykorzystany do konfigurowania i administrowania wieloma modułami firewall .

Oprogramowanie klienta GUI i serwera zarządzania może funkcjonować na oddzielnych komputerach.
Rysunek 1 przedstawia topologię sieci, w której jeden moduł zarządzający kieruje działaniem dwóch modułów firewall.
Oprogramowanie klienta GUI i serwera zarządzającego zainstalowano na oddzielnych stacjach.

38-11-01
Rysunek 1.  Topologia sieci zabezpieczonych dwoma urządzeniami firewall zarządzanymi z poziomu jednej stacji
z zainstalowanym oprogramowaniem klienta GUI. Serwer zarz ądzający działa na oddzielnej stacji.

 

Rozważania na temat topologii systemów zabezpieczonych oraz mechanizmów zabezpieczeń

Oprogramowanie CheckPoint FireWall-1 pozwala na zastosowanie w sieci kompleksowych rozwiązań polityki bezpieczeństwa znacznie wykraczających poza typowe funkcje firewall. Spróbujmy w tym rozdziale bliżej przyjrzeć się niektórym funkcjom tego oprogramowani a.
Dyskusja o zastosowaniach CheckPoint FireWall-1 będzie dotyczyła sieci o zaprezentowanej na rysunku 2 topologii. Sieć ta obejmuje dwa węzły połączone z sobą szyfrowanymi kanałami VPN (Virtual Private Network) skonfigurowanymi w oparciu o infrastrukturę si eci Internet. Do pewnej części zasobów sieci korporacyjnej posiadają dostęp komputery sieci partnera. Zasoby te, to przede wszystkim serwery różnych usług znajdujące się w LAN2 (serwery WWW, serwery baz danych Extranet, serwer poczty itp.). Jest możliwe także udostępnienie partnerowi wyjścia do sieci Internet przez nasz router. Zakres usług, z których mogą korzystać użytkownicy sieci partnera może podlegać ograniczeniom per usługa, per użytkownik czy per grupa użytkownik ów. Reguły polityki bezpieczeństwa zdefiniowane przy pomocy graficznego edytora reguł bezpieczeństwa i obowiązujące na firewall-u oznaczonym na rysunku 2 jako FireWall-1A mogą określić też godziny lub dni, w których dozwolony jest dostęp do pewnych usług sieci Internet dla zdefiniowanych użytkowników lub ich grup zarówno z wnętrza naszej sieci, jak i z sieci partnera.
W sieci LAN2 działa serwer autentykacji. Serwer ten zarządza przy pomocy dedykowanego oprogramowania (na przykład Cisco Secure) bazami danych o użytkownikach. Zadanie tego serwera polega na obsłudze żądań autentykacji generowanych przez routery lub firewa ll przy próbie dostępu użytkowników do sieci zewnętrznych (sieć Internet lub inne segmenty sieci zabezpieczonych przy pomocy firewall-a). Oprogramowanie CheckPoint FireWall-1oferuje wsparcie dla różnych metod autentykacji, w tym między innymi tych opartyc h o serwery autentykacji RADIUS, TACACS, TACACS+. Stwarza także możliwość autentykacji użytkowników przy pomocy jednokrotnych haseł S/Key, kart SecurID (Security Dynamics token cards), haseł systemu operacyjnego (login i hasło OS w znaczeniu ogólnym, w ty m również otrzymane z serwera NIS dla UNIXa lub kontrolera domeny dla NT), czy wewnętrznych haseł firewall-a. Dane o użytkownikach i ich grupach mogą pochodzić z lokalnych baz użytkowników zdefiniowanych z poziomu edytora reguł polityki bezpieczeństwa sie ci lub też mogą zostać zaimportowane z serwera LDAP (Lightweight Directory Access Protocol, X.500).

38-11-02
Rysunek 2.  Przykład implementacji systemów firewall do zabezpieczenia sieci korporacyjnej

Dzięki zastosowaniu serwerów LDAP i konfiguracji oprogramowania CheckPoint FireWall-1, umożliwiającej odwołania do baz LDAP, jest możliwe oddzielenie zarządzania informacjami o użytkownikach od zarządzania globalnymi regułami polityki bezpieczeństwa. Funk cje zarządzania bezpieczeństwem sieci mogą być dzielone między zespoły o odpowiednio zdefiniowanych kompetencjach.
Przechowywanie danych o użytkownikach na serwerze LDAP pozwala na centralną administrację tymi danymi. Dane, o których mowa, nie ograniczają się tylko do informacji niezbędnych na etapie autentykacji (identyfikacja użytkownika, hasło, schemat autentykacji , serwer autentykacji) lecz obejmują także kontrolę dostępu (określenie autoryzowanych sieciowych obiektów źródłowych i docelowych), ograniczenia praw dostępu, przynależność do grup, ograniczenia czasu dostępu, stosowanie enkrypcji (metoda, klucz). CheckPoint FireWall-1 współpracuje przez oprogramowanie klienta LDAP z serwerami zgodnymi ze specyfikacją OPSEC (Open Platform for Security).

W segmencie LAN2 znajduje się także serwer kontroli zawartości pakietów. Może na nim funkcjonować oprogramowanie odpowiedzialne za kontrolę antywirusową pakietów. Oprogramowanie takie może na przykład sprawdzać załączniki wiadomości poczty elektronicznej i usuwać stamtąd wirusy. Mechanizm przekierunkowania pakietów do serwera z oprogramowaniem antywirusowym korzysta z protokołu CVP (Content Vectoring Protocol) pracującego na porcie 18181. Na serwerze kontroli zawartości pakietów może także działać oprogramowanie mające na celu filtrację adresów WWW (URL). Istnieje możliwość definiowania warunków filtrujących przez określenie, z użyciem znaków uogólniających, wzorca adresów URL (wildcard specification), filtrow anie na podstawie typów plików pobieranych z serwerów WWW w Internecie (file specification). Można także korzystać z zewnętrznych baz adresów URL w celu ograniczenia dostępu do jakiejś określonej kategorii stron WWW. Filtracja URL przebiega na serwerze kontroli zawartości pakietów w oparciu o mechanizmy CheckPoi nt URL Filtering Protocol (UFP). Protokół ten funkcjonuje w środowisku TCP/IP na porcie 18182.
Serwery CVP i UFP mogą działać na rzecz takich usług jak FTP, HTTP czy SMTP. Oprogramowanie przeznaczone do współpracy z CheckPoint FireWall-1 musi spełniać wymagania specyfikacji OPSEC.

Sam FW-1 potrafi również dzięki serwerom security zabezpieczyć użytkowników przed atakami przez wrogie aplety Java i ActiveX. Zabezpieczenie przed tego typu atakami polega na usuwaniu kodu Java i ActiveX, usuwaniu tagów wskazujących na aplety Java i Activ eX z kodu HTML czy blokowaniu zwrotnych połączeń generowanych z poziomu kodu Java i ActiveX. Serwery security oferują także autoryzowanie komend protokołu FTP (np. komendy GET/MGET i PUT/MPUT), metod protokołu HTTP (GET, POST, HEAD itp.) oraz zabezpieczen ia sesji SMTP (blokowanie spamu, ukrywanie pełnej, zawierającej nazwę hosta, postaci adresu e-mail, usuwanie załączników określonego typu, odrzucanie wiadomości przekraczających określony rozmiar).
Ochrona sieci przez skanowanie zawartości pakietów przez serwery zewnętrzne wymaga w pierwszym kroku zdefiniowania z poziomu stacji zarządzającej nowego obiektu, którym jest serwer CVP lub UFP. Następnym krokiem jest zdefiniowanie odpowiednich usług na rz ecz których będzie wykonywane skanowanie zawartości pakietów oraz określenie podejmowanych działań w związku z zaistnieniem określonych zdarzeń wyszczególnionych w warunkach filtracji pakietów.

Enkrypcja pakietów to kolejna bardzo ważna funkcjonalność oprogramowania CheckPoint FireWall-1, funkcjonalność podstawowa dla konfiguracji logicznych połączeń VPN (Virtual Private Network).
Szyfrowane kanały VPN mogą przebiegać pomiędzy dwoma systemami firewall (VPN typu site-to-site) lub pomiędzy stacją użytkownika, pracującą pod kontrolą systemu Windows 95, Windows 98 lub Windows NT a systemem firewall (VPN typu client-to-site). Konfigurac ja połączeń VPN typu client-to-site wymaga instalacji na maszynie klienta oprogramowania SecuRemote firmy CheckPoint.
Połączenia VPN konfigurowane są na bazie infrastruktury sieci publicznych, zapewniając poufność transmitowanych danych.
Szyfrowanie danych przesyłanych logicznymi łączami VPN może korzystać z takich metod enkrypcji jak: FWZ (algorytm firmy CheckPoint), IPSec, ISAKMP/Oakley (Internet Security Association and Key Management Protocol - standard IETF), SKIP (Simple Key Managem ent Protocol).
Oprogramowanie CheckPoint FireWall-1 współpracuje z centrum autoryzacyjnym certyfikatów X.509.

CheckPoint FireWall-1 oferuje także rozwiązanie problemu przeciążenia serwerów, pozwalając na wykreowanie logicznego serwera na bazie wielu fizycznych serwerów. W przypadku WWW działający na firewall-u proces-demon dokonuje przekierowania sesji HTTP do po szczególnych fizycznych serwerów WWW, dla innych adres logicznego serwera jest kojarzony z adresami fizycznymi za pomocą mechanizmu NAT. Algorytmów wybory konkretnego serwera fizycznego jest kilka, m. in. na podstawie obciążenia poszczególnych serwerów lu b ich fizycznej lokalizacji względem źródła ruchu.
W segmencie LAN2 działają dwa fizyczne serwery WWW. Firewall oznaczony na rysunku 2 jako FireWall-1A definiuje logiczny serwer WWW dla równomiernego rozłożenia obciążenia związanego z obsługa sesji HTTP pomiędzy tymi dwoma fizycznymi serwerami WWW.

W segmencie LAN3 działa serwer odpowiedzialny za logowanie komunikatów diagnostycznych rejestrowanie alarmów oraz uruchamianie procedur ich obsługi. Rejestracji mogą podlegać informacje o połączeniach (do celów statystycznych, w celu opracowania raportów na temat wykorzystania sieci, a także w celu dokumentowania zdarzeń związanych z naruszaniem reguł polityki bezpieczeństwa sieci) oraz połączenia aktywne (śledzenie aktywnych połączeń, blokowanie prób ataków). Powiadamianie o zdarzeniach związanych z działaniem reguł polityki bezpieczeństwa może wykorzystywać pocztę elektroniczną, mechanizmy serwera SYSLOG lub alarmy SNMP. Alarmy SNMP mogą być dalej przetwarzane przy pomocy oprogramowania wspomagającego zarządzanie siecią (H P OpenView, Tivoli Enterprise Management, IBM NetView 6000).
Przetwarzanie rejestrów zdarzeń jest możliwe dzięki oprogramowaniu modułu raportów.

Na systemach firewall (FireWall-1A i FireWall-1B) działa translacja adresów zgodna z protokołem NAT. Umożliwia ona korzystanie z prywatnych adresów IP (na podstawie RFC 1918) do adresowania hostów sieci wewnętrznych. Przy wyjściu z sieci wewnętrznej do In ternetu ma miejsce podmiana w datagramach IP źródłowego adresu IP na adres zarejestrowany przez NIC. Ta sama reguła może działać przy wykonywaniu połączeń z sieci Internet do serwerów sieci wewnętrznej.
NAT na firewall-u może działać w dwóch trybach: dynamicznym i statycznym. Tryb dynamiczny polega na ukrywaniu wielu adresów lokalnych za jednym adresem z puli zarejestrowanych adresów IP tylko na czas sesji (w tym przypadku nie są możliwe połączenia z zew nątrz do ukrytych komputerów). Zadaniem NAT-a dynamicznego jest ukrycie informacji o adresacji i strukturze sieci zabezpieczonej oraz oszczędne gospodarowanie dostępną przestrzenią adresów IP.
Istota trybu statycznego polega na translacji jeden-do-jeden. Ten tryb translacji jest wykorzystywany głównie do obsługi połączeń do i z serwerów takich usług jak poczta, FTP, WWW i innych.
Konfiguracja NAT-a następuje albo automatycznie przy tworzeniu definicji obiektów w edytorze reguł polityki bezpieczeństwa lub "ręcznie" przez użycie edytora reguł translacji.

Podsumowanie

Oprogramowanie CheckPoint FireWall-1 stanowi zintegrowana platformę rozwiązań spełniających wymagania polityki bezpieczeństwa systemów sieciowych.
Zaletą firewall-i opartych o to oprogramowanie jest możliwość centralnego, zdalnego zarządzania wieloma stykami z sieciami zewnętrznymi (firewall-e i routery) oraz dystrybucji reguł polityki bezpieczeństwa do określonej grupy lub wszystkich urządzeń styku (security gateways).
Zaawansowane metody autentykacji, zarządzania informacjami o użytkownikach, skanowania zawartości pakietów IP, wykrywania, rejestrowania i blokowania ataków, rejestrowania zdarzeń związanych z działaniem polityki bezpieczeństwa sieci, enkrypcji i zarządza nia kluczami autentykacji i enkrypcji oraz budowania sieci VPN, doskonała ochrona stosu TCP/IP i systemu operacyjnego komputera działającego jako firewall czynią ten produkt ogromnie skutecznym w zabezpieczaniu sieci korporacyjnych różnej skali.
Dodatkową zaletą CheckPoint FireWall-1 jest jego otwarta architektura wynikająca ze zgodności z platformą OPSEC, gwarantująca niespotykaną skalowalność rozwiązań zabezpieczeń sieci.

Akcje Dokumentu

Nasze cookies są bezpieczne! Korzystamy z nich w minimalnym zakresie tak, aby nasz serwis był jak najlepiej dopasowany do potrzeb Użytkowników. Warunki przechowywania oraz dostępu do plików cookies, można zmienić w ustawieniach przeglądarki. Domyślne ustawienia popularnych przeglądarek pozwalają na zapisywanie cookies. Więcej informacji w naszej polityce cookies.

[X] Zaakceptuj, by informacja więcej się nie pojawiała