Siguiente: Arquitectura
Subir: Firewall-1
Anterior: Firewall-1
Índice General
Quizás el cortafuegos más utilizado actualmente en Internet es FireWall-1, desarrollado por la empresa israelí Check Point Software
Technologies Ltd. (http://www.checkpoint.com/). Este firewall se
ejecuta sobre diferentes sistemas Unix (Solaris, AIX, Linux y HP-UX), así
como sobre Windows NT y también en `cajas negras' como las desarrolladas
por Nokia, que poseen un sistema operativo propio (IPSO) basado en FreeBSD.
Quizás la característica más importante de Firewall-1 sea que
incorpora una nueva arquitectura dentro del mundo de los cortafuegos: la
inspección con estado (stateful inspection). Firewall-1 inserta
un módulo denominado Inspection Module en el núcleo del sistema
operativo sobre el que se instala, en el nivel software más bajo
posible (por debajo incluso del nivel de red), tal y como se muestra en la
figura 16.1; así, desde ese nivel tan bajo, Firewall-1 puede
interceptar y analizar todos los paquetes antes de que lleguen al resto del
sistema: se garantiza que ningún paquete es procesado por ninguno de los
protocolos superiores hasta que Firewall-1 comprueba que no viola la
política de seguridad definida en el cortafuegos.
Figura 16.1:
Ubicación del Inspection Module dentro de la pila de
protocolos OSI.
|
Firewall-1 es capaz de analizar la información de una trama en cada
uno de los siete niveles OSI y a la vez analizar información de estado
registrada de anteriores comunicaciones; el cortafuegos entiende la estructura
de los diferentes protocolos TCP/IP - incluso de los ubicados en la
capa de aplicación -, de forma que el Inspection Module extrae
la información relevante de cada paquete para construir tablas dinámicas
que se actualizan constantemente, tablas que el firewall utiliza para
analizar comunicaciones posteriores. En el módulo de inspección se
implantan las políticas de seguridad definidas en cada organización
mediante un sencillo lenguaje denominado INSPECT, también diseñado
por Check Point Software Technologies; desde un cómodo interfaz se
genera un script en este lenguaje, que se compila y se inserta en el Inspection Module.
La gran potencia y flexibilidad de Firewall-1 hacen imposible que se
aquí se puedan explicar con el suficiente nivel de detalle todas sus
características; para más información, excelentes lecturas pueden ser
[GB99] o (más reciente) [WA02]. También la
documentación que acompaña al producto, y la disponible en el servidor
web de Check Point Software Technologies, es de gran ayuda para
cualquier administrador que utilice este cortafuegos en su red.
Siguiente: Arquitectura
Subir: Firewall-1
Anterior: Firewall-1
Índice General
2003-08-08