Esempio di firewall commerciale: Firewall One by Checkpoint

I firewall commerciali in generale offrono molte caratteristiche aggiuntive oltre al classico packet filtering. In effetti il semplice filtraggio di basso livello non offre garanzie illimitate e permette di raggiungere una certa sicurezza imponendo politiche di accesso restrittive. Chi paga decine -a volte centinaia- di milioni di lire per un applicativo commerciale ovviamente pretende qualcosa in più ed i produttori si sono orientati verso soluzioni sempre più intelligenti.

La soluzione proposta dalla Checkpoint è tra le più evolute in fatto di sicurezza e configurabilità del prodotto. Il pacchetto Firewall One è disponibile sia per la piattaforma windows NT che per la piattaforma unix -Solaris o HPUX-. Le prove effettuate in effetti dimostrano che le piattaforme unix offrono performance di un'ordine di grandezza maggiore rispetto a quelle windows in una prova basata su 32 client operanti ognuno 500 connessioni contemporanee con banda di circa 5Mb/s -somma delle connessioni del singolo client-.

L'anima del Firewall One è l'architettura ``Stateful Inspection'', la quale garantisce il massimo della protezione contro qualunque tipo di attacco conosciuto. Un modulo di sorveglianza viene integrato nel kernel del sistema ospite e filtra tutti i pacchetti passanti dal livello di rete, sopra al quale si attesta, verso il sistema operativo. Nessun pacchetto viene visto dal sistema operativo prima di aver subito il controllo del firewall. Il modulo di sorveglianza accede all'intera struttura dei dati analizzando il corpo dei pacchetti in transito. Oltre agli IP ed alle porte TCP il prodotto Cechkpoint può quindi ricostruire il contesto di tutte le transazioni eseguite da qualsiasi protocollo superiore conosciuto. I parametri di controllo sono:

• Informazioni istantanee su tutti e sette i livelli ISO/OSI delle comunicazioni in corso.
• Stato derivato dalle comunicazioni precedenti. Il firewall ricorda l'evoluzione delle connessioni precedenti ed autorizza eventualmente nuove connessioni di risposta come nel caso dell'ftp attivo.
• Stato derivato dalle applicazioni. Il firewall ricava informazioni dallo stato degli altri applicativi per trarre conclusioni sullo stato di sicurezza della connessione. Ad esempio un utente telnet o ssh potrà accedere agli altri protocolli autorizzati solo se l'autenticazione di terminale ha successo.
• Elaborazione dell'informazione. La creazione di regole derivanti da tutti i precedenti parametri.

Le connessioni possono essere bloccate durante la loro esecuzione in qualsiasi momento nel caso in cui il software rilevi un calo di sicurezza. La regola generale è sempre e comunque conservativa e prevede che tutto quello che non è esplicitamente concesso deve essere negato. Si noti che questo tipo di architettura coniuga le caratteristiche favorevoli del filtraggio di pacchetto, il quale è implementato, alle caratteristiche del proxy-firewall. Il proxy in effetti ha la spiacevole caratteristica di spezzare la connessione tra client e server insicuro in due tronconi mentre Firewall One lascia fluire i pacchetti pur mantenendo il pieno controllo sull'intera procedura di scambio dati. Nelle figure 4.4, 4.5 e 4.6 possiamo apprezzare i differenti percorsi dei dati.

Figura 4.4: Firewall a filtraggio di pacchetto

Figura 4.5: Proxy firewall

Figura 4.6: Firewall One

Il modulo di sorveglianza deve essere configurato dall'utente ed allo scopo è stato concepito un linguaggio specifico detto ``inspect language''. Tale linguaggio permette di specificare regole di sicurezza riguardanti qualsiasi apetto dei dati in transito, dagli indirizzi di destinazione ad un particolare contenuto dei pacchetti stessi. Viene fornito anche un tool grafico che facilita il concepimento dello script di configurazione. Tale script inoltre è stato pensato per poter estendere in qualsiasi momento il campo di azione del firewall verso qualsiasi nuovo applicativo di rete e per offrire agli utenti politche di filtraggio sempre aggiornate tramite eventuali patch presenti sul sito del produttore.

Hosted by www.Geocities.ws