CORTAFUEGOS: CASOS DE ESTUDIO Firewall-1

Integrantes:Nanci AbarcaPablo CruzMaría Gabriela PalaciosMaría del Cisne Sarmiento

INTRODUCCIÓN

Quizás el cortafuegos más utilizado actualmente en Internet es FireWall-1, desarrollado por la empresa israelí Check Point Software Technologies.

Este firewall se ejecuta sobre diferentes sistemas Unix como: Solaris AIX Linux HP-UX

Así como sobre Windows y también en `cajas negras‘ como las desarrolladas por Nokia, que poseen un sistema operativo propio (IPSO) basado en FreeBSD.

Quizás la característica más importante de Firewall-1 sea que incorpora una nueva arquitectura dentro del mundo de los cortafuegos.

La inspección con estado (stateful inspection). Firewall-1 inserta un módulo denominado Inspection Module en el núcleo del sistema operativo sobre el que se instala, en el nivel software más bajo posible (por debajo incluso del nivel de red), tal y como se muestra en la figura:

Así, desde ese nivel tan bajo, Firewall-1 puede interceptar y analizar todos los paquetes antes de que lleguen al resto del sistema: se garantiza que ningún paquete es procesado por ninguno de los protocolos superiores hasta que Firewall-1 comprueba que no viola la política de seguridad definida en el cortafuegos.

Firewall-1 es capaz de analizar la información de una trama en cada uno de los siete niveles OSI y a la vez analizar información de estado registrada de anteriores comunicaciones.

El cortafuegos entiende la estructura de los diferentes protocolos TCP/IP - incluso de los ubicados en la capa de aplicación, de forma que el Inspection Module extrae la información relevante de cada paquete para construir tablas dinámicas que se actualizan constantemente, tablas que el firewall utiliza para analizar comunicaciones posteriores.

En el módulo de inspección se implantan las políticas de seguridad definidas en cada organización mediante un sencillo lenguaje denominado INSPECT, también diseñado por Check Point Software Technologies.

ARQUITECTURA Firewall-1 está basado en dos módulos independientes: el de

gestión (o control) y el de cortafuegos.

El primero de ellos está formado por el gestor gráfico de políticas (incluyendo el visor de registros) y el servidor de gestión, típicamente un demonio que se ejecuta en una máquina Unix.

El gestor gráfico puede ser un cliente Unix o Windows; en la actualidad no exista un cliente gráfico para Linux, encontrándose únicamente para otros Unices, y que además el cliente X/Motif contiene errores y es bastante ineficiente, lo que motiva que se tienda a utilizar clientes Windows para gestionar los cortafuegos.

En cualquier caso, el gestor gráfico puede ejecutarse en la misma máquina que el servidor de gestión o en una diferente, mediante un esquema cliente/servidor.

Este gestor no hace más que presentar de una forma cómoda al administrador del cortafuegos la información generada por el servidor de gestión (el demonio), que es el verdadero `corazón' de la gestión del firewall y que permite administrar diferentes sistemas con módulo de cortafuegos desde una misma estación de control.

El módulo de cortafuegos está formado por el inspection module, los demonios de Firewall-1 y los servidores de seguridad del firewall.

El inspection module se instala como ya ha dicho se encuentra entre el nivel de enlace y el nivel de red, por completo antes de la pila de protocolos TCP/IP, con lo que se asegura que Firewall-1 analiza todos y cada uno de los paquetes que pasan por el sistema.

Los demonios del firewall son simples programas con diferentes funciones, como la comunicación con el servidor de gestión o la carga de las reglas definidas para el cortafuegos en el inspection module.

Finalmente, los servidores de seguridad son módulos que se invocan cuando así se define en la política, y que realizan tareas de autenticación y seguridad de contenidos; la conexión entre origen y destino se divide en dos, una entre el origen y el servidor de seguridad y otra entre este y el destino.

INSTALACIÓN DE FIREWALL-1 (UNIX)

1. Desabiltar el IP Forwarding.2. Instalar los paquetes correspondientes

mediante comandos habituales de cada Unix

pkgadd en Solaris swinstall en HP-UX fwinstall.

3. Configurarlo fwconfig (versión 4.0) cpconfig (versión 4.1)

pablo:

pablo:

• Instalación de licencias• Planificación del software en el

arranque de la máquina• Definición de módulos de

firewall remotos.

Existen dos apartados para la posterior gestión del firewall: la definición de administradores y la definición de estaciones que actuarán como clientes gráficos.

Los administradores que definamos serán los encargados de acceder a las políticas del cortafuegos a través del gestor gráfico, únicamente desde las estaciones que hayamos definido como cliente.

Podemos añadir elementos a ambas listas (la de administradores y la de estaciones gráficas) fwconfig o cpconfig fwm (para añadir administradores) modificando el archivo $FWDIR/conf/gui-clients (para añadir

clientes gráficos); este archivo no es más que un fichero de texto donde se listan las direcciones IP (o los nombres DNS) de las máquinas que pueden acceder a gestionar el firewall.

Para acabar con la instalación de Firewall-1 es necesario definir la

variable de entorno $FWDIR, que apuntará al directorio /etc/fw/, y

añadirla en los scripts de inicio de sesión correspondientes.

También es recomendable añadir el directorio $FWDIR/bin/ a nuestro $PATH, ya que ahí se ubican las

utilidades de gestión del cortafuegos, y hacer lo mismo con $FWDIR/man/ y la variable $MANPATH, ya que en este

directorio se encuentran las páginas de manual del firewall.

ADVERTENCIA!!!

Es posible que la máquina no arranque tras instalar el software debido a las modificaciones de los scripts de

arranque (concretamente los ubicados en /etc/rcS.d/), que al ser invocados desde /sbin/rcS producen errores que impiden montar correctamente los discos y proseguir el

arranque.

Para solucionar estos problemas, lo más rápido es eliminar cualquier modificación que la instalación de Firewall-1 haya

realizado sobre los programas ejecutados al iniciar el sistema.

GESTIÓN

Firewall-1 permite al usuario definir una política de seguridad formada por reglas, cada una de las cuales se basa principalmente en el origen, destino y servicio de una determinada trama. El conjunto de reglas se examina de arriba hacia abajo, las tramas no explícitamente aceptadas se rechazan.

La gestión de Firewall-1 suele ser completamente gráfica, a través de dos interfaces principales: el de gestión de políticas (fwui) y el visor de logs (fwlv). En versiones más recientes del firewall ambos se unifican en fwpolicy, basado en X/Motif (los anteriores se basan en OpenLook).

Una imagen de fwlv

Para gestionar el cortafuegos, los administradores pueden conectar desde las estaciones gráficas autorizadas al servidor de gestión (máquina en la que se ha instalado el módulo de gestión de Firewall-1), para lo cual necesita autenticarse mediante su nombre de usuario y su clave.

Lo primero que verá será la política del firewall (de hecho, ha conectado con el editor de políticas de Firewall-1); estas políticas no son más que ficheros ubicados en $FWDIR/conf/, con un nombre finalizado en `.W', que se compilan y cargan en los sistemas donde está instalado el módulo de cortafuegos.

Existen un campo que indica si se ha de registrar la trama (`Track'), otro para determinar dónde se ha de instalar (`Install On'), otro para especificar el tiempo que la regla estará activa (`Time') .

Evidentemente, como sucede en cualquier firewall, tanto el campo origen como el destino pueden ser sistemas concretos o redes completas. En Firewall-1 ambos elementos, así como los servicios, se manejan como objetos

En el caso de los hosts o las redes la propiedad más importante es la dirección IP o la dirección de red con su máscara correspondiente asociadas al objeto; en el caso de los servicios, definidos también por un nombre, la característica más importante es el puerto o rango de puertos asociado al mismo.

En todos los casos, el nombre dice mucho más al encargado de gestionar el cortafuegos que una simple IP, dirección de red o número de puerto, lo que facilita enormemente la administración del firewall.

El campo `Action' de cada regla define qué se ha de hacer con una conexión cuando hace match con la regla. Tres son las acciones principales a tomar: `Accept', si dejamos que la conexión se establezca a través del firewall, `Reject', si la rechazamos, y `Drop', si la rechazamos sin notificarlo al origen.

Una vez que hemos definido una política lo más habitual es aplicarla en un sistema con el módulo de cortafuegos de Firewall-1 instalado en él; las modificaciones que realicemos sobre una determinada política no tendrán ningún efecto hasta que esa política se instale en el cortafuegos correspondiente.

Para instalar una política tenemos que escoger la opción del menú del gestor gráfico adecuada; Firewall-1 verifica que la política escogida es lógica y consistente, genera y compila el código INSPECT correspondiente para cada objeto sobre el que vayamos a instalarla, y carga dicho código en el objeto donde se encuentra el módulo de cortafuegos a través de un canal seguro.

EL SISTEMA DE LOG

Siempre que una trama haga match con la regla se generará un registro del evento, tanto si la conexión se acepta como si se deniega. Los logs de Firewall-1 no son simples ficheros ASCII, sino que se almacenan en un formato propio dentro del directorio $FWDIR/logs/

Para consultarlos: visor gráfico fwlv o la orden fw, que también permite rotarlos (`fw logswitch') y exportarlos a ficheros ASCII (`fw logexport'):

Rotar los logs o exportarlos a ficheros ASCII resulta útil al realizar estadísticas ya que podemos separar los registros por días, meses, horas...o cualquier otro parámetro.Inconveniente: los registros de Firewall-1 no pueden utilizarse para monitorizar el tráfico en tiempo real o para ofrecer una respuesta automática ante un ataque

Para implantar: `fw log', que con las opciones adecuadas imprimirá en pantalla cualquier registro que se genere al mismo tiempo que la entrada se guarda en el fichero de log correspondiente

La salida de esta orden ya puede ser procesada desde línea de comandos para implantar así la respuesta automática, por ejemplo mediante `fw sam', que bloquea todo el tráfico proveniente de una determinada dirección en el cortafuegos, de forma permanente o temporal

INSPECTLenguaje de alto nivel propio de Firewall-1, orientado a objetos y diseñado explícitamente para trabajar con cortafuegos

El script de INSPECT es un fichero `.pf' que se encuentra en $FWDIR/conf/. este archivo es compilado mediante fwc y a partir de él se genera un código (un fichero `.fc') dentro de $FWDIR/tmp/ junto a otros archivos adicionales en el mismo directorio.

La carga del código en el cortafuegos se realiza de forma automática tras generar y compilar el fichero `.pf' desde el editor gráfico de políticas, aunque puede llevarse a cabo manualmente mediante órdenes como `fw load' o `fw fetch'

Bibliografía:[1]http://www.rediris.es/cert/doc/unixsec/

node24.html