PDA

Ver la versión completa : Todo sobre Checkpoint FW-1



LUK
22-08-2008, 01:59
El presente artículo, pretende ser un análisis y un repaso detallado de todas las opciones y funcionalidades que presenta uno de los firewalls líderes en Internet debido, en parte, a la poca e inexistente documentación que existe en lengua castellana acerca de Checkpoint FW-1.

CHECKPOINT - LA EMPRESA

Checkpoint Software Technologies LTD, creada en el año 1993, está especializada única y exclusivamente en soluciones de seguridad lógica, cubriendo desde usuarios finales hasta proveedores de servicios de Internet (ISP/ASP).

En 1994, se empieza a comercializar su producto estrella y por el que es más conocida, Firewall-1. FW-1 es el primer firewall por software con tecnología Stateful Inspection, tecnología acuñada y patentada por Checkpoint y en la que se basan prácticamente todos los firewalls actuales. Empresas como Nokia o Crossbeam se basan en el software FW-1 para integrar sus soluciones de seguridad perimetral.

En el gráfico adjunto se puede observar como ha sido la evolución de su línea de productos hasta conseguir cubrir prácticamente todas las necesidades de seguridad en Internet, ya sea desarrollando alguna solución o, incluso, adquiriendo diversas empresas ya existentes como fue el caso de ZoneAlarm. Actualmente, dispone de una cuota de mercado del 100 % en las Fortune 100 (lista de las 100 mejores compañías para trabajar de la revista Fortune) y un 98 % del mercado de las Fortune 500.


http://img299.imageshack.us/img299/9079/check11nt7.jpg

Las soluciones de seguridad de Checkpoint destacan por su arquitectura unificada, lo que, por ejemplo, permite gestionar multitud de sus productos de seguridad perimetral o seguridad interna, desde un único punto de forma centralizada.

Otro de los avances que destacan en Checkpoint, es la estrategia OPSEC (Open Platform for Security) que es un marco de trabajo para integrar las mejores soluciones de seguridad de terceros con los productos de Checkpoint, permitiendo un grado de interoperabilidad muy elevado con otros productos de seguridad. Actualmente, aproximadmente 350 empresas especializadas de seguridad y ajenas a Checkpoint, cuentan con esta alianza.

La filosofía de Checkpoint puede resumirse con el acrónimo
P.U.R.E.:

P.U.R.E.: Protected Infraestructure-Unified Arquitecture-Realiable Productivity-Extensible to meet new threads

En el siguiente gráfico, se puede observar toda la línea de productos de que dispone Checkpoint, desde los firewalls personales para un ámbito doméstico (ZoneAlarm) hasta cualquier otra solución que un Datacenter pueda necesitar: IPS/IDS, Firewalls, VPN, etc.


http://img218.imageshack.us/img218/5325/check21ul5.png

La última revolución dentro de CheckPoint está siendo la fabricación de sus propios appliances de gran rendimiento y a un precio muy competitivo para no depender de empresas como Nokia o Crossbeam que integran el software de firewall de Checkpoint en sus sistemas de seguridad perimetral. Es la línea que se conoce como Power-1 donde se integran en un mismo equipo, firewall, IPS, VPN, balanceo de carga, opcionalmente soluciones UTM (Unified Threat Management o Gestión Centralizada de Amenazas) como antivirus, filtrado Web, etc.
http://www.checkpoint.com/products/power-1/index.html

TECNOLOGÍAS
Desde los primero firewalls que se limitaban a hacer filtrado de paquetes, la tecnología en seguridad ha evolucionado notablemente y ha sido Checkpoint quien ha creado y patentado un gran número de estas nuevas técnicas.
Fiel a la filosofía UTM (Unified Thread management), término empleado para describir sistemas que implementan varios módulos de seguridad en un mismo equipo (inspección de paquetes, email, antivirus, etc.) todos sus productos pueden gestionarse de manera eficaz y centralizada.

Stateful Inspection

Tecnología creada y patentada por Checkpoint. Firewall-1 fue el primer producto de seguridad en implementar dicha tecnología.
Stateful Inspection, es la arquitectura de firewall propuesta por Checkpoint que trabaja dentro de la capa de red (nivel 3 de la capa OSI), a diferencia de las primeras herramientas de filtrado de paquetes que únicamente examinaban los paquetes de red basándose en la información contenida en sus cabeceras.
Stateful Inspection es la arquitectura de firewall que trabaja en la capa de red (nivel 3 de la capa OSI), a diferencia de las primeras herramientas de filtrado de paquetes que únicamente examinaban los paquetes de red basándose en la información contenida en las cabeceras de cada paquete. Esta tecnología, analiza el tráfico empezando por la capa de red. Mantiene un registro del estado de las conexiones gracias al cual es capaz de realizar un seguimiento controlado de cada una de las conexiones que se pasan por el firewall. Sólo aquellos paquetes que permanezcan en un estado “conocido”, es decir, que el dispositivo mantenga un control de las sesiones establecidas, pueden atravesar el firewall como tráfico legítimo en función de la política de seguridad definida tal y como se puede observar en el siguiente gráfico:


http://img171.imageshack.us/img171/5272/check31nz5.png


Application Intelligence

Un conjunto de características avanzadas que detecta y previene ataques a nivel de aplicación. Esta tecnología implementa tanto análisis a nivel de red como de aplicación y dispone de análisis de protocolo para evitar usos fraudulentos y/o no estandarizados de los mismos.
Las ventajas y fortalezas de Application Intelligence son:

- Validar la compatibilidad con los estándares (RFC´s).
- Validar el uso correcto de los protocolos que fluyen por la red.
- Detectar y bloquear posible código malicioso.
- Controlar comportamientos anómalos en aplicaciones.

Malicious Code Protector
Otra tecnología patentada por Checkpoint, permite analizar código ejecutable en un entorno virtual aislado. Esta tecnología está pensada para proteger contra ataques por desbordamientos de buffer (buffer overflows) en las aplicaciones.
Malicious Code Protector ha sido diseñada para detectar ataques no conocidos (no se basa en firmas) y, a pesar de estar Integrada con el framework de Application Intelligence, es independiente del protocolo utilizado y de la plataforma pudiendo proteger desde sistemas Wintel hasta sistemas basados en SPARC.
El algoritmo utilizado es el siguiente:


http://img162.imageshack.us/img162/6033/check41hx6.png

La diferencia fundamental respecto a sistemas de IDS/IPS es la aplicación preventiva, es decir, se elimina el lapso de tiempo que tienen la mayor parte de sistemas de seguridad entre que el ataque se conoce, se publica su firma y se actualiza automáticamente el sistema y la eficacia, precisamente por no basarse en firmas.
Esta tecnología se activa, por ejemplo, en el módulo de Web Intelligence de FW-1 para proteger a los servidores web de una organización de peticiones maliciosas por parte de usuarios.

S.M.A.R.T
Security Management Arquitecture, es la tecnología que permite gestionar de manera eficaz y centralizada todos los aspectos de los productos de Checkpoint. Cabe destacar, SmartCenter, que es una consola única para gestionar todos los aspectos de la seguridad del entorno (perimetral, interna y endpoints).
Los diferentes módulos o funcionalidades accesibles una vez instalado el GUI Client o interfaz de administración de la consola de Checkpoint (SmartCenter), se pueden observar en la siguiente captura de pantalla:


http://img156.imageshack.us/img156/8995/check51ou7.png


1. Eventia Reporter:
Como su nombre indica, se trata del módulo de reporting del propio firewall. Permite realizar informes con más de 40 plantillas predefinidas, en base a la información de los distintos dispositivos de seguridad gestionados y correlar/administrar los registros, permitiendo realizar un análisis detallado del estado, capacidad y/o efectividad de la seguridad de una red. Es necesario adquirir una licencia a parte del propio firewall para utilizar todas sus características.


http://img329.imageshack.us/img329/9186/check61ba6.png


2. Eventia Analyzer:
El motor de correlación y análisis que permite la recogida de registros de diferentes puntos de la red y que simplifica enormemente el proceso de análisis por parte de los administradores.


http://img299.imageshack.us/img299/4523/check71sa0.png

Arquitectura de gestión de eventos:


http://img171.imageshack.us/img171/9517/check81hk4.png


3. Secure Client Packaging Tool:
Este módulo permite preparar un paquete personalizado de SecureClient (cliente para conexiones VPN de Checkpoint) permitiendo añadir o eliminar opciones de forma predefinida a un perfil VPN predeterminado.

4. SmartDashBoard:
Este es uno de los módulos más importantes de FW-1 ya que permite la gestión de políticas de seguridad y configuración de los dispositivos. Es en este módulo donde se invierte la mayor parte del tiempo del administrador pudiendo incluso modificar las opciones globales del comportamiento del firewall y administrar la política y todas las reglas de seguridad existentes.


http://img299.imageshack.us/img299/6986/check91mr6.png

5. SmartLSM (Large Scale Manager):
Smart LSm está diseñado para topologías con una gran número de redes a administrar ya que permite a los administradores implementar y gestionar las conexiones VPN y las instalaciones de seguridad, perfiles,etc. de forma sencilla y centralizada.
Está basado en la idea de “gateway profiles”, es decir, a partir de perfiles prediseñados vía SmartDashboard que se pueden asignar a difrentes dispositivos con características de seguridad comunes. De esta manera, se permite centralizar toda la gestión pudiendo realizar cambios únicamente en un perfil que contenga diversos dispositivos.


http://img156.imageshack.us/img156/9454/check101at8.png

6. Smart Update:
Este es el módulo encargado de gestionar las licencias del software, tanto las licencias de los firewalls como de las Smart Management Center o consolas de administración.


http://img171.imageshack.us/img171/4624/check111dh8.png

7. Smart View Monitor:
Este es el módulo de monitorización de los equipos ya que permite visualizar el estado a nivel de rendimiento de los distintos sistemas: tráfico soportado por los interfaces de red, información a nivel de hardware, discos duros, memoria, carga del sistema, número de sesiones, etc.).


http://img329.imageshack.us/img329/2164/check121im3.png

8. Smart View Tracker:
Desde este módulo se gestionan los logs y registros generados desde los distintos firewalls según la política de seguridad definida.
Para una búsqueda más eficaz, permite utilizar potentes filtros para encontrar registros concretos. También desde aquí, se pueden obtener los logs de auditoría y el control de cambios llevado a cabo por los administradores como, por ejemplo, cambio en opciones globales, cambio en las reglas de una política, etc. Esta herramienta es utilizada a diario por los administradores para solventar incidencias y detectar posibles ataques o errores producidos en la red.


http://img299.imageshack.us/img299/5351/check131ds0.png


Network Access Control

Es la tecnología que permite controlar el estado a nivel de seguridad de los equipos que se conectan a la red. Antes y después de establecer una conexión, los mecanismos de control comprueban la integridad del equipo mediante políticas de acceso (verificar si un antivirus está actualizado, si el sistema está correctamente parcheado o actualizado, etc.) que servirán para velar por el cumplimiento de la política de seguridad establecida en un entorno.
Dentro del marco OPSEC (estándar para la interoperabilidad de productos de terceros con Checkpoint) se intenta solucionar el incumplimiento de seguridad en cualquier punto de la red (no sólo en estaciones de trabajo) y es por ello que, mediante OPSEC, Checkpoint interactúa con diversos fabricantes de productos y tecnologías de red (switches, servidores RADIUS, redes inalámbricas, appliances dhcp/dns, etc.).


http://img204.imageshack.us/img204/8810/check141iu1.png


Secure XL

SecureXL es un framework de interfaces, módulos de software y estándares que permiten desarrollar tecnologías para mejorar el rendimiento de los equipos con un coste mínimo. Básicamente, se utiliza para acelerar el throughput y el ratio de conexión y así reducir sobrecargas del sistema donde se implementa.
Esta tecnología reconoce ciertos atributos del flujo de paquetes que ya han sido validados por el módulo de firewall y permite que los siguientes paquetes “relacionados” con esta conexión sean pasados directamente al sistema operativo sin tener que volver a pasar por el módulo del firewall.
Las soluciones SecureXL están disponibles en diversos formatos (todos ellos basados en el API SecureXL) ya sea a nivel de aplicación como, por ejemplo, en el caso de integrar Checkpoint con Nokia o Crossbeam (esta mejora se introduce a nivel de sistema operativo), como a nivel de hardware usando tarjetas PCI TurboCard entre otras opciones.


Smart Defense

Smart Defense es la tecnología de Checkpoint encargada de llevar a cabo comprobaciones en el nivel 3 de la capa OSI, nivel de red, y superiores hasta llegar al nivel de aplicación o nivel 7. También es el módulo encargado de proveer información sobre la defensa contra nuevos ataques mediante Smart Defense Update y la publicación de boletines de seguridad por parte de Checkpoint. Esta característica viene activada por defecto.
Smart Defense no protege únicamente la red de ataques conocidos, sino que provee a la plataforma de un mecanismo de “Seguridad Inteligente” de manera proactiva basándose a su vez en las tecnologías ya comentadas anteriormente, Stateful Inspection y Application Intelligence.
Las diferentes protecciones de Smart Defense, se activan desde la interfaz Smart Dashboard, permitiendo escoger el tipo de ataque genérico para el que se debe activar la protección y recibir información en tiempo real. Cabe destacar que cada tipo de ataque dispone de diversos parámetros con los que ajustar aún más la protección de la red.
Todas las protecciones pueden implementarse en el modo denominado “Monitor Only Mode”, que hace posible registrar tráfico no autorizado sin llegar a bloquearlo, opción más que interesante para entornos críticos en producción, ya que permite efectuar un análisis anterior al bloqueo y estudiar el comportamiento del tráfico.


http://img218.imageshack.us/img218/9919/check151dx0.png


Las protecciones de Smart Defense se categorizan de manera genérica, es decir, tomando como ejemplo el virus Blaster, el módulo no solo protegerá la red contra este gusano, sino contra todas las variantes conocidas ya que la protección a activar se categoriza como una violación del protocolo MS-RPC que es la vulnerabilidad que utiliza el virus para propagarse.


1. Protecciones a nivel de red (Network Security)
Protecciones contra ataques de Denegación de Servicio (DoS):

TearDrop: Checkpoint marca como “error de defragmentación” la recepción de paquetes fragmentados que se solapan. Teardrop es la herramienta utilizada para detectar esta vulnerabilidad.
Ping of Death: Los ataques con paquetes ICMP mal formados con un tamaño IP mayor de 64Kb se bloquean automáticamente con el mensaje “Virutal Defragmentation Error: Paquet too big”.
LAND attacks: Smart Defense bloquea cualquier ataque con paquetes TCP especialmente malformados.
NON-TCP Flooding: Control de las tablas de sesiones del firewall para protocolos no orientados a conexión (ej. UDP), es decir, que no se pueda producir un flooding en las tablas que deniegue conexiones legítimas posteriores.

Protecciones IP/ICMP:

Packet Sanity: Comprobaciones en los niveles 3 y 4 para validar tamaños del paquete, tamaños de cabeceras y control de flags.
Fragmentación IP: Control sobre el máximo de fragmentación permitida y el umbral máximo de fragmentación.
MAX PING Size: Control de paquetes ICMP con el campo echo sobredimensionado. El máximo permitido según el RFC son 548 bytes.
Network Quota: Control sobre el número máximo de conexiones desde un mismo origen.

Protecciones TCP:
Smart defense es capaz de inspeccionar segmentos TCP y analizar un paquete para verificar que sólo contienes opciones válidas.
Esta protección incluye verificación a nivel de tipo de protocolo, análisis de cabeceras y flags, control de MTU (Maximum Transfer Unit), verificación de los números de secuencia y protección contra ataques SYN (SYN flood, SYN relay, etc.).

Protecciones contra Fingerprinting:
Permite enmascarar y ofuscar ciertos datos de servidores internos. Tal y como Checkpoint alega, protegerse de ataques de Fingerprinting es casi imposible, aunque con esta característica, se dificulta algo más el proceso de identificación.
En esta categoría, se pueden activar opciones como protección de spoofing de los números de secuencia iniciales, cambio por el propio firewall de los campos TTL y modificación por el propio firewall del campo ID en paquetes IP.

Protecciones contra Port-Scanning:
En esta categoría se incluyen protecciones para proteger la red interna de un escaneo de puertos estándar a la búsqueda de servicios activos.

2. Protecciones a nivel de aplicación (Application Intelligence y Web Intelligence)
La protección a nivel de aplicación incluye una verificación exhaustiva de protocolos de correo, mensajería instantánea, dns, ftp, web, VoIpP, compartición de archivos y programas P2p.
Application Intelligence permite controlar prácticamente cualquier aspecto de los protocolos a nivel de aplicación, desde verificación de contenido, hasta opciones del propio protocolo, validación de standards, etc. El propio administrador puede configurar el comportamiento del firewall al producirse estos eventos, ya sea con acciones pre-definidas, o envío de alertas por correo electrónico, SNMP traps, etc.

Sistemas Operativos Soportados:
FW-1 de Checkpoint, puede ser implementado en diferentes Sistemas Operativos:

- Solaris (8, 9 y 10): Una solución muy popular debido a su integración con Checkpoint, las desventajas pasan por el coste del hardware y que se requiere un mayor nivel técnico para administrar el sistema.

- Windows (2000, 2003 y XP): La solución más fácil de implementar, sencilla instalación y fácil mantenimiento.

- Secure Plattform: El Sistema Operativo propietario de Checkpoint. Está basado en RedHat especialmente configurado y securizado. La versión estándar viene de serie con cualquier producto de defensa perimetral pero la versión PRO es de pago. Entre otras características soporta un mayor número de protocolos de enrutamiento (OSPF, RIP1, RIP2) y una gestión centralizada de administradores via Radius.

- IPSO: El sistema operativo de Nokia, basado en FreeBSD. Su nombre proviene de Ipsilon Networks que es una empresa que Checkpoint compró en 1997. Destaca su interfaz gráfica vía web llamada Voyager que permite hacer prácticamente cualquier configuración a nivel de sistema. Desde la línea de comandos tiene dos shells denominados ICLID y CLISH, para monitorización y administración respectivamente. De serie soporta todos los protocolos de enrutamiento de Secure Plattform PRO.

- Linux: Soportada la distribución Red Hat Enterprise Linux.

PÁGINAS DE INTERÉS

http://www.checkpoint.com
http://europe.nokia.com/A4153091
http://www.juniper.net/
http://www.stonesoft.com/en/
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/

AUTOR: Drju (drju@hacktimes_dot_com)
Fuente: www.hacktimes.com/?q=node/53