Принцип работы

Введение

Этот раздел описывает архитектуру и уникальные возможности CheckPoint FireWall-1 и выделяет основные моменты, позволяющие CheckPoint FireWall-1 установить полную, надежную защиту и контроль за доступом из/в Internet вместе с прозрачностью доступа, используя весь диапазон протоколов Internet. Описаны возможности по идентификации пользователей, шифрованию и другие функции CheckPoint FireWall-1. В заключение, представлены данные по производительности работы CheckPoint FireWall-1.

Обратите внимание: в терминологии CheckPoint FireWall-1 термин "Gateway" используется, чтобы описать компьютер, управляющий трафиком на входе в защищаемую сеть. В некоторой литературе термин "маршрутизатор" используется для обозначения Gateway. В терминологии CheckPoint FireWall-1, "маршрутизатор" означает маршрутизатор Wellfleet или Cisco.

Архитектура FireWall-1

CheckPoint FireWall-1 состоит из двух основных модулей:

• Модуль Управления.
  Модуль Управления включает графический интерфейс пользователя и собственно компоненты управления. Графический интерфейс пользователя позволяет работать с базами данных CheckPoint FireWall-1: Базой Правил, сетевыми объектами, услугами, пользователями и т.д.
• Модуль FireWall.
  Модуль FireWall включает Инспекционный Модуль, два "демона" (snmpd и fwd) и сервера безопасности. Модуль FireWall непосредственно осуществляет стратегию защиты, ведение журнала событий, и общается с Компонентой Управления посредством "демонов".

Стратегия защиты CheckPoint FireWall-1 определена в терминах сетевых объектов, услуг, пользователей и правил, задающих взаимодействие этих обьектов. Как только они определены Модулем Управления, генерируется Инспекционный Код и затем устанавливается на FireWall, реализующий стратегию защиты.

Рис. 17 Компоненты FireWall-1

Модель клиент/сервер

Управляющий модуль также может быть установлен в конфигурации клиент-сервер. Графический интерфейс на клиенте может работать под управлением Windows 95, Windows NT или X/Motif GUI и управлять сервером на одной из поддерживаемых платформ (Windows NT, SunOS 4.1.3, Solaris 2.x, HP-UX 9 и 10).

Клиентская часть взаимодействует с пользователем посредством графического интерфейса. Все данные (базы правил, файлы конфигураций) хранятся и обрабатываются на сервере, который занимает промежуточное положение между клиентской частью и Модулем Управления. Например, пользователь запрашивает установку Security Policy, в результате сервер обращается к Модулю Управления, который транслирует запрос далее и сообщает результаты серверу. Сервер, в свою очередь, передает их клиенту.

Как и в предыдущих версиях пакета FireWall-1, также доступен графический интерфейс пользователя на основе OpenLook. OpenLook GUI содержит обе компоненты (клиент и сервер) и может использоваться на любой из платформ, поддерживающих OpenLook (SunOS 4.1.3 и выше, Solaris 2.x, HP-UX 9 and 10).

Рис. 18 Конфигурация клиент/сервер

В конфигурации, представленной на рисунке 18, функциональность Модуля Управления разделена на две рабочие станции (simon and floyd). Модуль Управления, включая базу данных FireWall-1, расположенный на компьютере simon, является сервером. Клиентская часть (GUI) расположена на компьютере floyd.

Пользователь, управляющий политикой безопасности, работает за компьютером floyd, а все базы правил расположены на компьютере simon. Модуль FireWall, установленный на компьютере monk, защищает внутреннюю сеть, реализуя политику безопасности.

Сетевое соединение между клиентом и сервером защищено, что позволяет реализовать удаленное управление. Например, компьютер floyd может располагаться вне локальной сети. Таким образом, различные организации или отделения могут управляться из одного, общего центра управления Управляющим Модулем.

GUI-клиент Модуля Управления, Сервер Модуля Управления и модуль FireWall могут устанавливаться на различных компьютерах или на одном и том же компьютере, если все три программы могут работать на этой платформе. Тогда администратор сети определяет политику безопасности, используя Модуль Управления на Центре Управления, который, кроме того, является защищенным Gateway (установлена компонента FireWall Module), реализующим политику безопасности.

Рис. 19 Распределенная конфигурация FireWall-1

Рисунок 19 демонстрирует распределенную конфигурацию, где Модуль Управления (в клиент-серверной реализации) контролирует три модуля FireWall, где каждый из них установлен на разных платформах и защищает три гетерогенные сети.

Модуль управления

База Правил

Как только сетевой администратор определил стратегию защиты - Базу Правил и параметры объектов (сети, услуги, адреса компьютеров и пользователей), используемых в правилах, стратегия преобразуется в Инспекционный Сценарий. Инспекционный Код, генерируемый из Инспекционного Сценария, передается затем по защищенному каналу от Станции Управления CheckPoint FireWall-1, поддерживающей базу данных, на компьютер с демонами CheckPoint FireWall-1. То есть, на модули FireWall, которые обеспечивают стратегию защиты сети. Демон CheckPoint FireWall-1 загрузит новый Инспекционный Код в Модуль Проверки CheckPoint FireWall-1. Сетевой объект, на котором Модуль Проверки CheckPoint FireWall-1 установлен, называется "FireWalled system", защищенный Gateway.

Рис. 20 Пример базы правил

Система с установленным FireWall будет выполнять те части Инспекционного Кода, которые относятся к ней, но вся регистрационная информация и предупреждения будут посылаться сетевому объекту, обозначенному как Мастер. Мастер хранит весь Инспекционный Код для каждой из систем FireWall, которыми он управляет. Если система FireWall теряет Инспекционный Код по какой-либо из причин, то она может восстановить свою работу, получив текщую копию от Мастера. Практически Мастер и Станция Управления всегда работают на одном и том же компьютере. Можно так же назначить дополнительного Мастера, который примет управление, если основной Мастер выйдет из строя.

Связь между Инспекционными Модулями и Станцией Управления осуществляется в защищенном режиме. Инспекционные Модули общаются со Станцией Управления, используя SNMP-агента.

Процедура развертывания CheckPoint FireWall-1 полностью централизована. Другими словами, несмотря на то, что стратегия защиты может быть создана для более чем одного сетевого объекта и, как показано в следующем разделе, выполняться на нескольких уровнях, все объекты все равно будут работать в контексте единой стратегии защиты, одной Базы Правил и на основе единого централизованного файла регистрации.

Замечание - в дополнение к единой интегрированной стратегии защиты, администратор системы может, если требуется, поддерживать различные Базы Правил, которые будут выполняться, например, в разное время дня.

Модуль для управления маршрутизаторами

В случае маршрутизаторов, Списки Доступа, сгенерированные на основе стратегии защиты, устанавливаются CheckPoint FireWall-1 непосредственно на маршрутизаторах. Для Cisco FireWall-1 загружает список доступа, используя Expect сеанс, который эмулирует сеанс TELNET на маршрутизатор. Для маршрутизаторов Wellfleet, CheckPoint FireWall-1 использует SNMP.

Менеджер сетевых объектов

Менеджер Сетевых Объектов определяет элементы, которые являются частью стратегии защиты. Только те объекты, которые являются частью стратегии защиты, должны быть определены пользователем. Они могут включать:

• сети и подсети
• серверы и рабочие станции (защищенные или нет)
• маршрутизаторы
• домены Internet
• логические серверы (среди которых можно произвести
  автоматическое распределение вычислительной нагрузки)
• группы

Рисунок 21 Окно Диспетчера Сетевых Объектов

Каждый объект имеет набор атрибутов: сетевой адрес, маску подсети, и т.д. Некоторые из этих атрибутов определяются пользователем, в то время как другие извлекаются CheckPoint FireWall-1 из сетевых баз данных (файлов) из /etc, Сетевых Информационных служб (NIS+ и дp), сетевых баз данных DNS. Агенты SNMP используются для извлечения дополнительной информации, включая конфигурацию интерфейсов компьютеров, маршрутизаторов и шлюзов. Объекты могут быть объединены в группы и иерархии.

Диспетчер пользователей

CheckPoint FireWall-1 предоставляет возможность установить привилегии доступа непосредственно для каждого пользователя и для группы. Можно создавать группы пользователей и задавать привилегии доступа для них, включая разрешенных адресатов и получателей пакетов, а также схемы идентификации пользователей ("Аутентификация").

Рис. 22 Окно свойств пользователя

Диспетчер сетевых служб

Диспетчер Сетевых Служб определяет типы сервисов, известных системе и используемых в стратегии защиты. Все сетевые услуги экранируются и контролируются, даже те, которые не определены явно. Широкий набор TCP/IP и Internet услуг определен заранее и содержит слежующее:

• Стандартные услуги ARPA NET: TELNET, FTP, SMTP и т.д.
• Berkeley r-услуги: rlogin, rsh и т.д.
• SunRPC услуги: NIS + /yellow pages, NFS и т.д.
• Расширенные протоколы Internet типа HTTP, Gopher, Archie и многие другие.
• IP услуги Internet Control Message Protocol (ICMP), Routing Internet Protocol (RIP), SNMP и т.д.

Новые услуги могут быть определены путем выбора типа сервиса и установки его атрибутов. Типы сервисов включают:

• Transmission Control Protocol (TCP)
• User Datagram Protocol (UDP)
• Remote Procedure Call (RPC)
• Internet Control Message Protocol (ICMP)
• Другие (предоставляется возможность формирования описания сервиса и протокола, в случае несоответствия набору стандартных атрибутов). Сервис определяется, используя простые выражения и макросы.

Услуги могут быть сгруппированы в семейства и иерархии. Например: NFS (программа монтирования, NFS-сервер, диспетчер блокировок), NIS+ /yp, и WWW (HTTP, FTP, Archie, Gopher, и т.д.).

Монитор состояния системы

Модуль Проверки FireWall-1 включает в себя мощные средства отображения состояния, проверки и оповещения о неполадках в системе. Окно Состояния Системы отображает текущее состояние всех Модулей FireWall и маршрутизаторов Wellfleet в любое время. Генерируемые отчеты включают состояние Модуля FireWall, статистику по пакетам (пропущено, блокировано, зарегистрировано, и т.д.).

Рис. 23 Окно Состояния системы

В Unix-системах CheckPoint FireWall-1 устанавливает собственный демон SNMP на компьютеры с системой FireWall. SNMP CheckPoint FireWall-1 демон использует или стандартный MIB SNMP, или расширенный MIB CheckPoint FireWall-1. В системе Windows NT FireWall-1 расширяет встроенный SNMP демон добавлением расширений агента, поддерживающих FireWall-1 MIB. Агент SNMP, используемый Модулями FireWall, может экспортировать информацию в другие интегрированные с CheckPoint платформы управления сетями. Кроме того, CheckPoint FireWall-1 может использовать TRAP по SNMP, как один из вариантов оповещения администратора.

Средство просмотра статистики

В Базе Правил администратор может определять правила регистрации и оповещения администратора для любой попытки соединения, независимо от того разрешено данное соединение или нет. Форматы данных для регистрации и предупреждения, а также действия, связанные с ними, открыты и могут быть настроены пользователем. Стандартные форматы содержат информацию об источнике и адресате, сервисе, используемом протоколе, времени и дате, исходном порте, предпринимаемом действии (установлено соединение, пропущено, блокировано, состоялся обмен ключами шифрования, трансляция адресов), файле регистрации и типе предупреждения, номере правила, пользователе, а также Модуле FireWall, который инициировал зарегистрированное событие. Любая информация о попытке связи может регистрироваться или использоваться для вызова сообщения (например, высветить окно с предупреждением, послать почтовое сообщение, запустить любой заданный пользователем механизм - программу или отослать Trap).

Программа просмотра статистики (рис. 24) отображает каждое регистрируемое событие, включая попытки связи, этапы инсталляции стратегии защиты, выключение системы и т.д. Для каждого события будет отображаться соответствующая информация. Информационные поля могут отображаться или скрываться. Цвета и иконки, связанные с событиями и полями обеспечивают легко читаемое визуальное представление.

Рис. 24 Просмотр журнала сообщений

Журналы регистрации и регистрационные записи можно фильтровать и осуществлять поиск по ним, их можно распечатать или сгенерировать отчет. Поиск быстро отслеживает события, представляющие интерес для администратора. Отчеты генерируются с применением критериев отбора к выделенным полям, обеспечивая сложные и исчерпывающие выборки. Отчеты могут просматриваться, экспортироваться в текстовый формат или выводиться на PostScript - устройство печати.

Интерактивные возможности просмотра показывают действия системы, текущие соединения и сигналы тревоги в реальном масштабе времени.

Интерфейс пользователя

CheckPoint FireWall-1 включает мощный и интуитивный графический интерфейс пользователя также, как и интерфейс командной строки. Консоль Управления CheckPoint FireWall-1 работает в системе Windows, Solaris, OpenWindows, OPEN LOOK X11R5, X/Motif. Все возможности CheckPoint FireWall-1 доступны из командной строки, что позволяет работать с ним со стандартного терминала.

Интерфейс командной строки также может использоваться вместе с инструментальными средствами стандартной системы типа awk и grep, вызывая созданные пользователем процедуры для анализа и сканирования файла регистрации и состояния. Кроме того, различные Базы Правил могут активизироваться в разное время дня и/или недели, используя интерфейс командной строки вместе с утилитой crontab.

Язык INSPECT CheckPoint FireWall–1

В CheckPoint FireWall-1 стратегия защиты описана Инспекционным Сценарием на языке INSPECT FireWall-1. Инспекционные Сценарии представляют собой легко читаемые ASCII файлы и могут быть написаны с использованием любого текстового редактора. Графический интерфейс пользователя генерирует Инспекционные Сценарии на том же самом языке. Впоследствии Инспекционные Сценарии компилируются в Инспекционный Код, который загружается и выполняется Модулями FireWall.

Возможность непосредственного редактирования Инспекционного Сценария облегчает отладку и адаптирует его к специальным требованиям заказчика, хотя на практике такая возможность требуется не часто.

Инспекционный модуль Firewall

Модуль FireWall включает два "демона" CheckPoint FireWall-1 (snmpd и fwd) и Инспекционный Модуль. CheckPoint FireWall-1 обычно устанавливается на dual-homed компьютере (Gateway), но может также быть установлен и на информационном сервере. Так как CheckPoint FireWall-1 загружается в ядро операционной системы, нет необходимости запрещать трансляцию IP пакетов, потому что CheckPoint FireWall-1 обрабатывает пакеты до их пересылки. Кроме того, процессы и демоны на шлюзе не должны уничтожаться или модифицироваться, так как CheckPoint FireWall-1 работает с ними на самом нижнем - сетевом - уровне.

Поддержка Windows NT

FireWall модуль может устанавливаться на NT системы. Вся функциональность FireWall-1 для Unix-систем доступна и для Windows NT, в том числе и модель Клиент/Сервер.

Поддержка маршрутизаторов Bay Networks и Xylan

Механизм проверки с учетом состояния протокола FireWall-1 теперь может быть реализован на маршрутизаторах Bay Networks и коммутаторах Xylan. При этом поддерживаются все стандартные свойства FireWall-1, за исключением шифрования, аутентификации и адресной трансляции.
Это решение позволяет существенно усилить уровень безопасности при реализации на уровне маршрутизаторов и коммутаторов.

Архитектура инспекционного модуля

Когда Инспекционный Модуль установлен на шлюзе, он управляет трафиком, проходящим между сетями. Инспекционный Модуль динамически загружается в ядро операционной системы, между уровнем Data Link и сетевым (уровни 2 и 3). Так как Data Link на самом деле является сетевой картой (NIC), а сетевой уровень - первым уровнем стека протоколов (например TCP/IP), таким образом FireWall-1 располагается на самом нижнем программном уровне.

Рис. 25 Архитектура Модуля Проверки

Работая на этом уровне, CheckPoint FireWall-1 гарантирует, что Инспекционный Модуль контролирует и проверяет весь входной и выходной трафик на всех интерфейсах. Ни один из входящих пакетов не будет обработан стеками протоколов более высоких уровней, независимо от того какой протокол или приложение использует этот пакет, до тех пор, пока Инспекционный Модуль не проверит пакет на соответствие стратегии защиты.

Поскольку Инспекционный Модуль имеет доступ к "необработанному сообщению", он может просматривать всю информацию в сообщении, включая информацию относящуюся к более высоким уровням протоколов, а также к данным, содержащимся в пакете. Инспекционный Модуль исследует IP заголовок, адреса, номера портов, и другую необходимую информацию, чтобы определить, должны ли пакеты быть пропущены в соответствии с Инспекционным Кодом из Базы Правил.

CheckPoint FireWall-1 понимает внутренние структуры семейства IP протоколов и приложений, сформированные на их верхних уровнях. Для stateless протоколов типа UDP и RPC, CheckPoint FireWall-1 выделяет и сохраняет контекстные данные (“UDP (User Datagram Protocol)” и “RPC (Remote Procedure Call)”). Он способен извлекать данные из пакетов и сохранять их в случае, если приложение не обеспечивает эту возможность. Кроме того, CheckPoint FireWall-1 способен динамически разрешать и запрещать соединения по мере необходимости. Описанные гибкие динамические возможности разработаны для обеспечения самого высокого уровня защиты для сложных протоколов. Однако существует и возможность их отключения, если это необходимо.

Способность CheckPoint FireWall-1 работать с данными внутри пакета предоставляет возможность разрешать некоторые команды внутри приложения и запрещать другие. Например, CheckPoint FireWall-1 разрешит прохождения ping ICMP, в то время как переадресация будет запрещена; или разрешит функцию get SNMP, а put запретит, и так далее. CheckPoint FireWall-1 может сохранять и получать значения в таблицах (динамический контекст) и выполнять логические или арифметические операции над данными в любой части пакета. В дополнение к операциям из стратегии защиты, пользователь может создать свои собственные выражения и таблицы.

Пакеты, которые стратегия защиты явно не разрешает, просто уничтожаются в соответствии с принципом "Что явно не разрешено, то запрещено".

В правилах можно указать конкретный компьютер, интерфейс и направление трафика к которым правило применяется. Пакеты могут проверяться в любом из трех направлений:

• eitherbound — Пакеты инспектируются на интерфейсе: при входе и выходе из системы
• inbound — Пакеты инспектируются на входе в систему firewall
• outbound — Пакеты инспектируются на выходе из системы firewall

Обычно на шлюзах пакеты просматриваются на входе, хотя возможно проверять пакеты и на выходе.

Аутентификация

Аутентификация пользователей

CheckPoint FireWall-1 позволяет определять стратегию защиты на уровне пользователей, где проверяется не только источник пакета, адресат и номер порта, но, кроме того, аутентифицируются отдельные пользователи интерактивных сеансов (TELNET, RLOGIN, HTTP и FTP).

Когда опция аутентификации пользователя разрешена в системе, CheckPoint FireWall-1 заменяет стандартные демоны на шлюзах с FireWall Модулем на специальные серверы безопасности CheckPoint FireWall-1. FireWall-1 (на gateway) перехватывает попытки пользователей запустить аутентифицированную сессию на сервере и "переправляет" соединение к подходящему серверу безопасности на мосте, который проводит аутентификацию.

Когда сервер безопасности CheckPoint FireWall-1, выполняющийся на прикладном уровне, получает запрос на установление соединения, он инициализирует процедуру идентификации пользователя в соответствии с определенной для него схемой. Например, если установлен механизм авторизации Secur Id, то CheckPoint FireWall-1 демон запрашивает авторизацию от локального клиента ACE. Идентифицированный пользователь должен затем указать хост для интерактивного сеанса. CheckPoint FireWall-1 затем проверяет, определен ли данный хост как "разрешенное назначение" для данного пользователя.

Даже после того, как пользователь был идентифицирован, CheckPoint FireWall-1 не позволяет открыть интерактивный сеанс непосредственно на указанной машине. Вместо этого, сервер безопасности CheckPoint FireWall-1 запускает на шлюзе защищенный интерактивный сеанс на указанном компьютере. Пакеты интерактивного сеанса инспектируются Модулем Проверки CheckPoint FireWall-1 при попадании на шлюз и передаются далее в сервер безопасности FireWall-1 на прикладном уровне. После этого пакеты поступают снова в Модуль Проверки CheckPoint FireWall-1, который будет проверять их еще раз, прежде чем они продолжат путь на указанный компьютер. В каждом пункте маршрута пакеты могут регистрироваться и может быть выдано предупреждающее сообщение. Таким образом, интерактивный сеанс надежно защищается сервером безопасности FireWall-1, но пользователь не чувствует этого, кроме момента регистрации при начальном входе в систему, и имеет полную иллюзию работы непосредственно на нужном компьютере.

Хотя стратегия защиты выполнена на различных уровнях протокола IP, имеется только одна стратегия защиты, одна База Правил, одна централизованная регистрация и механизм оповещения для всех уровней.

Замечание - в добавок к единой интегрированной стратегии безопасности, администратор системы может, если необходимо, поддерживать различные готовые базы правил, например для различных времен суток.

Сервер безопасности HTTP

Сервер безопасности FireWall-1 HTTP обеспечивает механизм для идентификации пользователей услуг HTTP. Сервер безопасности HTTP CheckPoint FireWall-1 может защищать любое число серверов HTTP во внутренней сети и управлять доступом локальных пользователей ко внешним HTTP-серверам.

Аутентификация клиента

Аутентификация Клиента работает с любыми протоколами и TELNET, FTP и HTTP в часности. Она обеспечивает механизм, не зависящий от приложения и стандарта. Нет никакой необходимости вносить изменения в приложение, как для сервера, так и для клиента. Администратор может определять для каждого конкретного случая, какой должна быть процедура опознания, какой сервер и приложения доступны и в какое время, а также сколько сеансов разрешается. После начала сеанса, CheckPoint FireWall-1 SMLI технология обеспечит самую высокую эффективность работы. Никакие proxies не используются, поэтому очень высокие показатели производительности достигаются даже на обычных рабочих станциях. Данное средство полностью интегрировано Базой Правил, графическим интерфейсом пользователя и средством Log Viewer.

Аутентификация сессий

Аутентификацию сессий можно использовать для аутентификации любого сервиса с точностью до порта.

Аутентификация сессий действует следующим образом:

• Пользователь инициирует соединение прямо к серверу.
• Модуль FireWall подключается к Агенту Аутентификации Сессий, дающему необходимые для аутентификации данные.
  Агент Аутентификации Сессий - пользовательское приложение, которое взаимодействует с модулем FireWall, используя протокол аутентификации сессий FireWall-1. Агент Аутентификации Сессий может работать на любом компьютере.
  На рисунке 26, Агент Аутентификации Сессий показан работающим на клиенте, но он может работать на любом компьютере.

Рис. 26 Аутентификация Сессий

• Если аутентификация была успешна, Модуль FireWall разрешает установить соединение к серверу через gateway.

Шифрование

Попытки несанкционированного доступа резко усилились по мере становления и развития виртуальных частных сетей в системе Internet и использования этой информационной магистрали для совершения кредитных операций, продаж и электронного документооборота. При ведении торговли через Internet - включая пересылку денежных средств, получения и проверки кредитной информации, продажи и даже поставки - требуется надежное и эффективное решение защиты.

Решение CheckPoint FireWall-1

CheckPoint FireWall-1 обеспечивает безопасную двунаправленную связь через Internet и механизм шифрования и подписи для гарантии целостности данных и конфиденциальности при соединении Виртуальных Частных Сетей.

CheckPoint FireWall-1 обеспечивает все потребности защиты предприятия:

Секретность - подслушивание на линии невозможно

Подлинность - невозможны подстановки сетевых компьютеров

Целостность - подстановка и модификация данных на лету невозможна

CheckPoint FireWall-1 реализует единую, интегрированную стратегию защиты с распознаванием клиентов и шифрованием данных. Предлагая различные схемы шифрования и интегрированные системы распределения ключей, CheckPoint FireWall-1 позволяет предприятию полностью использовать возможности Internet для ведения бизнеса, обеспечения связи, построения частных виртуальных сетей.

CheckPoint FireWall-1 поддерживает скорости шифрования более 10 Мбит/с на обычных настольных рабочих станциях. Поставляется встроенный механизм управления ключами, также как и способность общаться с certificate authority. Доступное управление полностью интегрировано в GUI редактор Базы Правил и Log Viewer.

FireWall-1поддерживает три схемы шифрования:

1. FWZ, собственная схема шифрования FireWall-1
2. Manual IPSec, схема шифрования и аутентификации, использующая постоянные ключи
3. SKIP (Simple Key-Management for Internet Protocols), разработанную Sun Microsystems, которая добавляет к IPSec улучшенные ключи и механизм управления ключами

Связь между всеми компонентами схем шифрования, реализованных в FireWall-1, показана в таблице 5.

Таблица 5 Схемы Шифрования

DES, FWZ1 и RC4 являются алгоритмами шифрования, используемыми для шифрования порции данных в пакете.

FireWall-1 обеспечивает полностью прозрачное выборочное шифрование для широкого спектра служб. Шифрование, дешифровка, и управление ключами полностью интегрированы с другими возможностями FireWall-1.

Пример конфигурации

Рисунок 27 описывает общую корпоративную сеть, где две частных сети соединены через Internet через шлюз FireWall. HQ - Станция Управления для обоих сетей. Частные сети (hq-сеть и DMZnet) защищены шлюзом FireWall, но внешняя часть сети - Internet - рассматривается, как открытая и небезопасная.

Рис. 27 Конфигурация сети с двумя мостами

Области передачи шифрованной информации

Шлюзы выполняют шифрование для каждой из своих областей: для локальной вычислительной сети или группы сетей, которые защищаются шлюзом. За шлюзом, во внутренних сетях, пакеты не шифруются. Область шифрования HQ состоит из HQnet и DMZnet, а область шифрования в Лондоне - London-net.

Если администратор системы определил, что связь между HQ и Лондоном должна быть зашифрована, CheckPoint FireWall-1 будет шифровать пакеты проходящие через gateway в Internet. Пакет, идущий от отдела Сбыта до Администрации, шифруется только на участке Лондон - hq, но не шифруется на сегментах hq - администрация и Лондон - сбыт.

Таким образом, шифрование может использоваться в гетерогенной сети без установки и конфигурирования на каждом отдельном компьютере сети.

Распределение ключей

Схема задания ключей для алгоритма шифрации основана на алгоритмах RSA и Diffie-Hellman. Станция управления обеспечивает каждый Gateway, управляемый ею:

• парой Diffie-Hellman ключей
• выступает для Gateway в роли Certificate Authority
• шифрованной передачей (распределением) ключей на другие шлюзы

В начале шифрованного сеанса шлюз вычисляет сессионный ключ по алгоритму Diffie-Hellman и затем начинает шифрованную связь.

Шаг за шагом

Чтобы включить шифрование, Вы должны ответить на три вопроса:

1. Кто будет шифровать ?

Необходимо определить шифрующие шлюзы и их области шифрования.

Рис. 28 Окно свойств хоста, показывающее область шифрования Gateway

Определим группу сетевых объектов с именем "Предприятие", которая состоит из всех сетей, между которыми необходимо создать шифрованный канал передачи данных (HQ-net, DMZnet, и London-net).

2. Какие ключи шифрования ?

Определим ключи шифрования в окне управления ключами и сгенерируем для Gateway пару ключей по алгоритму Diffie-Hellman.

3. Что будет шифроваться ?

Создайте правило в Базе Правил, в котором определите действие Encrypt в поле Action для связей между компьютерами предприятия.

Для получения дополнительной информации о криптографических свойствах FireWall-1 обратитесь к "Privacy in Public Networks Using Check Point FireWall-1".

FireWall-1 SecuRemote

FireWall-1 SecuRemote позволяет пользователям мобильных и удаленных систем Microsoft Windows 95 и NT подсоединяться к корпоративным сетям по телефонным линиям Internet - напрямую к серверу или через Internet-провайдеров - и работать с корпоративными данными также безопасно, как если бы они находились под защитой Internet FireWall. FireWall-1 SecuRemote продлит Virtual Private Network прямо до компьютера удаленного пользователя.

FireWall-1 SecuRemote основана на технологии Кодировки Клиентов. FireWall-1 SecuRemote кодирует данные до того, как они покидают переносной компьютер, что гарантирует полную защиту для пользователей удаленных и мобильных систем, использующих при удаленном доступе возможности FireWall-1.

FireWall-1 SecuRemote осуществляет прозрачную кодировку всего трафика TCP/IP. Для этого не надо менять сетевые приложения на ПК пользователя. FireWall-1 SecuRemote может работать с любым существующим сетевым адаптером и стеками протокола TCP/IP. ПК, на который устанавливается FireWall-1 SecuRemote, может быть подсоединен к нескольким офисам, использующим VPN.

Рис. 29 Виртуальная Частная Сеть со внешними пользователями

Оператор системы защиты FireWall-1 может предоставить доступ для пользователей FireWall-1 SecuRemote при помощи стандартного редактора базы правил FireWall-1. После процедуры распознавания пользователя FireWall-1 SecuRemote, создается полностью прозрачное и защищенное соединение, причем для FireWall-1 пользователь становится таким же обьектом, как и любой другой пользователем Virtual Private Network. Администратор сети может усилить уровень защиты FireWall-1, используя, например, сервера аутентификации, журналирование событий и сигналы тревоги для соединений FireWall-1 SecuRemote (так же как и для любого другого соединения).

FireWall-1 SecuRemote имеет следующие возможности:

• поддерживает динамическую IP адресацию, необходимую для установления соединения по телефонным линиям
• использует мощную аутентификацию пользователей, используя алгоритмы Diffie-Hellman и RSA
• мощную систему кодировки при помощи FWZ1 или DES

Трансляция IP адресов

Потребность в трансляции IP адреса - замена одного IP адреса в пакете другим IP адресом - возникает в двух случаях:

1. Если сетевой администратор хочет скрыть внутренние IP адреса сети от Internet.

Причиной является то, что с точки зрения безопасности нет особой выгоды от общей доступности схемы внутренней адресации сети.

2. Если IP адреса внутренней сети недопустимы для Internet. Например, эти адреса принадлежат другой сети.

Такая ситуация может возникнуть по историческим причинам: внутренняя сеть не была первоначально соединена с Internet и IP адреса были выбраны произвольно без каких либо соглашений. Если такая сеть затем соединяется с Internet, внутренние IP адреса , используемые ранее, не могут использоваться для внешних связей. А изменение этих адресов может быть трудоемко или невозможно.

В любом случае внутренние IP адреса не могут использоваться для доступа в Internet. Однако, доступ в Internet должен быть все же предусмотрен из внутренних сетей с недопустимыми или секретными IP адресами.

Application Gateway (proxies) исторически служил как частичное решение этих проблем. Например, чтобы скрыть внутренний IP адрес, пользователь может открыть сессию TELNET на шлюзе и оттуда продолжить работу в Internet через специальный proxy. CheckPoint FireWall-1 может быть легко настроен, для обеспечения подобной схемы работы, предоставляя широкий набор услуг (FTP, TELNET, HTTP, и т.д.). Кроме того, CheckPoint FireWall-1 дополняет эту схему, обеспечивая идентификацию пользователя на шлюзе.

С другой стороны, proxy имеет и недостатки:

• Proxy написаны под конкретное приложение, поэтому невозможно использовать приложения, которые не имеют соответствующего proxy.
• Proxу не прозрачен, так что даже зарегистрированные удаленные пользователи должны работать через приложение на шлюзе, что накладывает большие требования на производительность компьютера шлюза. Основная задача proxy после установки соединения - передать пакеты на прикладном уровне, что является неэффективным использованием ресурсов.
• Трудно реализовать хороший proxу для протоколов отличных от TCP.

В CheckPoint FireWall-1 реализован другой механизм, обеспечивающий прозрачную и общую для всех приложений возможность трансляции адресов, что обеспечивает полное и эффективное решение. Администратор определяет, какой внутренний IP адрес надо скрыть и как преобразовать его в зарегистрированный IP адрес, видимый в Internet. В то же время, внутренние компьютеры могут быть сконфигурированы так, чтобы быть доступными из Internet, даже если их внутренние IP адреса недопустимы для Internet. Таким образом CheckPoint FireWall-1 обеспечивает, как маскировку IP адреса, так и статическую Трансляцию Адреса, предлагая неограниченные возможности по установлению соединений в Internet для внутренних клиентов при максимальной производительности, даже если шлюз - стандартная рабочая станция.

Трансляция Адреса может использоваться для "однонаправленной маршрутизации" так, чтобы не существовало маршрута снаружи во внутреннюю сеть или к центральным компьютерам.

Например, рисунок показывает как CheckPoint FireWall-1 транслирует запрещенные внутренние адреса в диапазоне 200.0.0.100 - 200.0.0.200 в допустимые адреса 199.203.73.15 - 199.203.73.115.

Рис.30 Трансляция адресов FireWall-1

Новый графический интерфейс (рис. 31) значительно упрощает задание правил трансляции адресов, и позволяет более понятно задавать сложные правила.

Рис. 31 Графический интерфейс адресной трансляции

Кроме этого, существует возможность автоматической генерации правил трансляции адресов (Рис. 32).

Рис. 32 Автоматическая генерация трансляции адресов в сети

Исходящие соединения FTP

Хотя Протокол Передачи файлов (FTP) - один из наиболее используемых и давно существующих TCP-протоколов в Internet, защита трафика FTP сталкивается с рядом трудностей. После того, как клиент инициализирует в FTP сеансе передачу данных, сервер устанавливает новый (обратный) канал для клиента. Это соединение исходит от сервера (за границами FireWall) к динамически назначаемому номеру порта на клиентской машине. Номер порта не известен заранее и клиент часто открывает/закрывает канал, назначая при этом близкие номера портов. Если просто открыть весь диапазон непривилегированных портов (> 1023) для входящих соединений, как это делают многие из систем FireWall, это подвергнет внутреннюю сеть опасности. За счет этого обходного пути было осуществлено много успешных взломов.

CheckPoint FireWall-1 контролирует сеанс FTP, исследуя данные прикладного уровня FTP. Когда клиент просит сервер установить обратное соединение, клиент генерирует при этом команду FTP PORT, CheckPoint FireWall-1 извлекает номер порта из запроса. Далее IP-адресат (клиент и сервер) и оба номера порта запоминаются в списке ждущего запроса для данных FTP. Когда сервер предпринимает попытку открыть соединение для передачи данных FTP, CheckPoint FireWall-1 проверяет список и устанавливает, что эта попытка - ответ на разрешенный запрос. Список соединений поддерживается динамически так, чтобы только необходимые порты FTP были открыты и только в течение сеанса передачи данных FTP. Как только сеанс закрыт, порты блокируются, гарантируя надежную защиту.

Сеансы Real Audio и VDOLive обрабатываются аналогичным образом.

UDP - приложения

Протоколы типа UDP (User Datagram Protocol) и RPC (Remote Procedure Call) создают специальные проблемы для систем защиты, потому что они не имеют контекста (stateless). CheckPoint FireWall-1 защищает эти протоколы, создавая и динамически сохраняя контекстные состояния на основе информации в пакетах и операционной системе.

UDP (User Datagram Protocol)

UDP приложения (типа WAIS, Archie и DNS) трудно фильтровать простыми методами, так как в UDP не имеется никакого различия между запросом и ответом. Раньше был выбор: либо полностью блокировать сеансы UDP, либо открывать большой блок диапазона UDP для двунаправленной связи и, таким образом, подвергать внутреннюю сеть опасности.

Рис. 33 Проверка сессии UDP

CheckPoint FireWall-1 защищает UDP приложения, организуя виртуальное соединение поверх соединения UDP. CheckPoint FireWall-1 поддерживает информацию о состоянии каждого сеанса, идущего через шлюз. Каждый разрешенный пакет UDP запроса, пересекающий FireWall, записывается, а пакеты UDP, следующие в противоположном направлении проверяются на соответствие списку отложенных сеансов для гарантии того, что данный пакет находится в разрешенном контексте. Пакет, который является подлинным ответом на запрос, пропускается, остальные блокируются. Если в течение определенного времени ответ отсутствует, система считает сессию завершенной и блокирует ее. В этом случае все атаки блокированы, хотя UDP приложения могут использоваться во внешних соединениях.

RPC (Remote Procedure Call)

Простой мониторинг номеров портов терпит неудачу для RPC, так как RPC приложения не используют определенные заранее номера портов. Распределение портов происходит динамически и часто меняется во времени.

CheckPoint FireWall-1 динамически отслеживает номера портов RPC, контролируя запросы к программам portmapper. CheckPoint FireWall-1 постоянно контролирует запросы к программам portmapper серверов, заполняет кэш-таблицы, которые содержат номера программ RCP и, связанные с ними, номера портов и адреса серверов.

Всякий раз, когда CheckPoint FireWall-1 проверяет правило, в котором описано RPC приложение, система запрашивает кэш состояний, сравнивая номера портов в пакете и кэш, проверяя, что номер программы, привязанный к порту, соответствует определенному в правиле.

Если номер порта в пакете не найден в кэше (что может происходить, когда приложение полагается на знание зарезервированных номеров портов и инициализирует связь без обращения к portmapper), CheckPoint FireWall-1 выдает собственный запрос к portmapper и сверяет номер программы, привязанной к порту.

Эффективность

Простая и эффективная архитектура Инспекционного Модуля предлагает оптимальную производительность за счет таких решений как:

• Выполнение внутри ядра операционной системы требует незначительных затрат производительности при обработке. Не требуется переключение контекста, что существенно снижает затраты на обработку.
• Используются передовые методы управления памятью (кэширование и хэширование), чтобы унифицировать хранение множества различных объектов и обеспечить эффективный доступ к данным.
• Обобщенные и простые инспекционные механизмы объединены с оптимизатором сценариев проверки пакетов, чтобы гарантировать оптимальность их использования на современных процессорах и операционных системах.

В тестах на производительность в сети 10 Мбит/с снижение было абсолютно незаметным даже на простейшей машине SPARCstation Classic. Это измерение включало задержку прохождения пакетов и пропускную способность сети. CheckPoint FireWall-1 может работать даже со 100 Мбит/с сетями на стандартных рабочих станциях.

При этом снижение производительности на шлюзе было тоже незначительным. Результаты показывают, что не имеется почти никакого проигрыша в эффективности при работе со скоростями сегодняшнего Internet, начиная от 56Kb или 1.5 Мбит/с (T1-канал) и до максимального быстродействия в 10 Мбит/с на стандартных настольных рабочих станциях.

Это делает CheckPoint FireWall-1 идеальным решением и для внутренних сетей предприятий.

Независимое тестирование показало аналогичные результаты.

Таким образом, CheckPoint FireWall-1 демонстрирует исключительную эффективность и предоставляет надежную, полностью прозрачную передачу выходного трафика, например трафика в Internet - при строгом контроле входящего трафика и соединений. CheckPoint FireWall-1 обеспечивает полностью интегрированную защиту без заметного снижения производительности.