Check Point Firewall 1 pour Linux, Première partie

Par David "Del" Elson
Traduit par Nightbird http://www.nightbirdfr.com/

C'est le premier article dans une série de trois articles qui examineront Check Point Firewall-1 pour Linux. Cet article se composera d'une brève vue d'ensemble préliminaire de Firewall-1, et d'une discussion sur l'installation, les tâches de post-installation, aussi bien pour les installations simples que les installations multi-systèmes. Les articles ultérieurs de cette série se concentreront sur des concepts tels que des objets de réseau, des règles de pare-feu, des règles de translations d'adresses, et NAT, des fonctionnalités et des limitations de Firewall-1, disposition des fichiers et des répertoires, rulesets, migration d'une installation Firewall-1 existante de passer à Linux, et configurations de sauvegarde et de secours.

Vus d'ensemble

Le produit

Check Point Firewall-1 a été le système principal du marché des firewalls depuis son introduction en 1994. L'avantage principal de Firewall-1 est son interface complete et facile à comprendre, qui a fait de lui un système de firewall de choix pour beaucoup de gestionnaires de compagnies d'informatique. Firewall-1 n'est pas un produit bon marché; cependant, il est bien commercialisé sur le marché et le support du produit est fourni par de nombreux constructeurs. Dans une enquête Internet récente de logiciel de sécurité, IDC a estimé que Check Point a une part de marché de 41 pour cent dans la catégorie de logiciel de firewall, ce qui est significatif pour beaucoup de clients.

Installer Firewall-1

L'installation de Firewall-1 sur Linux n'est pas un processus excessivement compliqué et ne devrait pas être au delà des capacités d'aucun administrateur Linux expérimenté. Le système est construit pour fonctionner sur la version redhat 6,1 et 6,2 de Linux. J'ai entendu des rapports disant que Firewall-1 a été installé avec succès sur d'autres plateformes Linux (par exemple: les utilisateurs de Debian sont parvenus à transformer les fichiers de RPM en fichiers DEB pour l'installation); cependant, j'ai eu un manque notable de succès exécuter Firewall-1 sur la version redhat 7,0! En l'exécutant avec la version redhat 6,2, assurez-vous que toutes les dernières mises à jour sont installées (du site FTP ou de votre miroir plus proche du chapeau rouge).

Preparation

La pré-planification de votre installation Firewall-1 est tout à fait importante. Avant que vous poursuiviez votre installation, vous devriez avoir une idée a quoi ressemble votre réseau ressemble, de préférence avec des diagrammes si possible.

Firewall-1 est système de firewall basé sur PC, et supporte seulement des interfaces Ethernet. En conséquence, si votre connexion Internet externe va par l'intermédiaire d'une différente sorte d'interface (par exemple: un lien de PPP, frame Relay, ou ATM) vous aurez besoin d'un routeur entre votre firewall et Internet. La planification des adresses que vous utiliserez sur ce lien est également importante. Vous voudrez probablement exécuter Firewall-1 sur une machine consacrée a cela. D'une manière générale, un firewall aura besoin au moins de deux cartes Ethernet, et si vous avez une DMZ ou d'autres réseaux attachés à votre firewall alors vous aurez besoin de plus que cela. (une des installations les plus récentes de Firewall-1 que j'ai terminé était sur une machine avec 9 interfaces d'Ethernet!) Le PC à utiliser pour Firewall-1 devrait avoir au moins 64MB de mémoire, avec 128MB recommandé. Il devrait avoir suffisamment d'espace disque pour l'installation du système d'exploitation et du logiciel Firewall-1, ainsi qu'une certaine quantité pour les fichiers de log et de l'espace disponible. Une machine avec un 4GB ou plus grand disque dur devrait suffire.
Selon votre débit (et la vitesse de votre connexion Internet), les conditions d'unité centrale de traitement pour Firewall-1 peuvent changer. J'ai avec succès exploité et ai installé le système sur un Pentium 133MHz, bien qu'il aurait fonctionné en quelque sorte plus rapidement sur un Pentium III 600MHz! Pour un firewall avec un circuit 2MB vers Internet et approximativement 200 utilisateurs a protégés, j'ai constaté qu'un processeur Pentium II 400MHz était adéquat.

Considerations de systeme d'exploitation

Firewall-1 pour Linux est conçu pour fonctionner sur Linux Redhat 6,1, avec un noyau 2.2.x. Bien que cette distribution ne soit pas la plus recente de redhat, Firewall-1 s'installe et s'exécute tout à fait convenablement sur redhat 6,2. Assurez-vous que vous avez les dernières mises à jour de redhat installées, du site FTP ou de votre miroir le plus proche. Toutes les versions récentes et en cours de Linux redhat ont des vulnérabilités qui devraient être fixées en appliquant ces mises à jour avant d'installer n'importe quel logiciel tiers ou relier votre serveur à Internet.
J'ai essayé une installation de Firewall-1 sur rehat 7,0, mais c'était un echec. Je suspecte que quelques différences dans le noyau ou les bibliothèques fournies avec la 7.0 ne soient pas compatibles avec le logiciel Firewall-1. Notez, cependant, que j'ai installé Firewall-1 avec succès et exécuté sur un système redhat 6,2 avec le noyau 2,2,16-3 fourni dans les dernières mises a jour 6.2, et c'est tout à fait semblable au noyau 2,2,16 fourni avec rehat 7,0. Notez que le composant principal de Firewall-1 est un module chargeable du noyau. Bien que de tels modules soient habituellement spécifiques à une version du noyau, celle que check point a fournit semble se charger dans la plupart des noyau de la série 2.2.x que j'ai essayés. Il ne chargera pas dans un noyau 2.4.x!

[Il convient de noter qu'après que cet article soit publié, j'ai reçu un email d'un lecteur qui a énoncé:
"j'ai firewall-1 4.1 sp2 fonctionnant sur redhat 7.0. La seule modification exigée etait de lier un couple des bibliothèques:
cd /usr/lib
ln -s libstdc++-libc6.2-2.so.3 libstdc++-libc6.1-1.so.2"

C'est l'une des choses que j'avais manqué en essayant de faire fonctionner Firewall-1 sur redhat 7.0 - David Elson]

Le site de Phoneboy Firewall-1 énonce: "Officiellement, Firewall-1 supporte RedHat 6,0 à 6,2. Certains ont eu du succès avec SuSE 6,2, Mandrake 7,0, et Debian avec un noyau 2,2,12 (le RPM a été converti en DEB)."

Logiciel de gestion Firewall-1

Le logiciel de gestion Check Point fournit avec Firewall-1 ne fonctionne pas sur Linux. Actuellement, il fonctionne sur Windows NT, Windows 2000, et quelques systèmes Unix (par exemple: Solaris) seulement. Par conséquent, pour utiliser Firewall-1 vous aurez besoin d'un poste de travail supplémentaire pour mettre votre station de gestion - malheureusement celle-ci doit fonctionner sur un des systèmes d'exploitation ci-dessus. Le logiciel de la gestion Firewall-1 pour Solaris est en fait raisonnablement pauvre, et ainsi je recommanderais à la place qu'un poste de travail de Windows NT ou Windows 2000 soit utilisé pour cela. Le logiciel de gestion Firewall-1 doit être installé séparément du logiciel de passerelle Firewall-1, bien que tous les deux soient contenus sur le même cdrom.

Disposition des fichiers

D'abord, une note rapide: j'installe presque tous mes systèmes Linux en utilisant une construction kickstart de redhat. Ceci me permet d'installer très rapidement un système redhat à partir d'un répertoire NFS contenant la dernière disptribution 6.2 ou 7.0 avec toutes les mises à jour, et n'a pas besoin de toucher le système pendant l'installation -- toutes les questions d'installation sont répondues pour moi dans le fichier de kickstart. Pour plus d'information sur des constructions kickstart de redhat, voyez la section suivante dans la documentation sur le site Web Red Hat.

D'une manière générale, un système Linux utilisé pour Firewall-1 aura besoin des repertoires suivants:

Toutes les repertoires ci-dessus peuvent être créées manuellement si vous installez le système du CD (ou de toute autre méthode manuelle d'installation). Mon fichier de kickstart (ks.cfg) pour installer les systèmes Firewall-1 a les repertoires définis comme suit:
part / --size 200
part swap --size 128
part /usr --size 1000
part /var --size 200
part /opt --size 1 --grow

Avant l'installation de Firewall-1

Après que Linux soit avec succès installé, vous pourriez vouloir prendre quelques minutes pour fixer votre système. En particulier, voici quelques choses que je fais toujours sur un système redhat de Linux avant de l'exposer à Internet:

Installation Firewall-1

Check Point fournit un script d'installation qui est compatible avec tous les systèmes Unix sur lesquels Firewall-1 peut être installé. Pour installer Firewall-1 en utilisant ce script, assurez-vous d'abord que vous avez le correct cdrom, celui-ci devrait être "Suite d'entreprise Check Point 2000 v4.1.2". Ceci inclut le service pack 2 de Firewall-1 v4.1, qui est exigé pour exécuter Firewall-1 sur Linux. Des versions plus recente du cdrom de Check Point 2000 n'ont pas inclus ce service pack, ainsi si vous avez une version plus recente, contactez votre constructeur de Check Point pour un CD de mise à niveau.

Montez le cdrom dans votre lecteur:

mount /mnt/cdrom

... et installer le logiciel en utilisant la commande suivante:

cd /mnt/cdrom ./InstallU

Le script d'installation vous prendra plusieurs étapes, incluant:

Taches de post-installation

Après que Firewall-1 soit installé, vous devriez accomplir les tâches suivantes:

Immédiatement deconnectez-vous puis reconnectez-vous. Le programme d'installation de Firewall-1 installe certain scripts supplémentaires dans votre /etc/profile.d qui modifient votre path par défaut pour inclure l'emplacement des programmes Firewall-1 exécutables (/etc/fw/bin). La deconnexion puis la reconnexion font relire ce répertoire et installe votre path.
  • Installez la license Firewall-1, en utilisant la commande qui a été fournit dans votre certificat Firewall-1.
  • Ouvrez une session sur votre station de gestion, installez les clients de gestion de Check Point (sinon déjà installé), exécutez l'éditeur de politique, et connectez-vous a voter firewall.
  • Créez quelques objets et règles de réseau!

    Installations simple et multi systemes

    Firewall-1 a la capacité de contrôler de multiples firewalls d'un simple module de gestion. Avant que je discute de ceci, j'expliquerai quelques concepts:

    C'est une pratique normale d'exécuter le module de la gestion Firewall-1 (fwm), et le module d'application sur la même machine, étant votre passerelle Internet. Cependant, ceci n'est pas exigé, si les passerelles, particulièrement où vous avez les passerelles Internet multiples, ou peut-être multiples entre des réseaux de divers niveaux de confiance.

    Deux types d'installation ont été présentés pendant l'ordre d'installation, ceux-ci étaient:

    1.VPN-1 Installation FireWall-1 stand alone, ou;
    2.VPN-1 Installation Distribuée de FireWall-1.

    L'installation Firewall-1 standalone installe le module de gestion et le module d'application sur la même machine. L'installation distribuée vous permet d'indiquer une certaine combinaison du module de gestion et du module d'application (c-à-d. un ou tous les deux) à installer.

    Par exemple, la compagnie X a un réseau étendu couvrant les Etats-Unis. Ils ont un WAN Frame Relay pour relier la plupart de leurs sites, aux bureaux dans le pays. Ils ont deux sites qui ont leurs propres connexions Internet séparées, une à San Francisco et une à New York. Il serait possible que eux fasse une installation distribuée, avec le module d'application et le module de gestion tous les deux installés à New York, mais seulement le module d'application installé à San Francisco. Ils pourraient contrôler les deux firewalls d'une console centrale de gestion, et se connectent seulement au firewall de New York pour mettre à jour l'ensemble des règles sur les deux firewalls.

    Assurez-vous que vous avez le type correct d'installation choisie. L'installation autonome vous donnera des messages d'erreur si vous essayez d'appliquer une règle qui couvre plus d'un module d'application! Ceci pourrait exiger la préplanification de votre disposition de réseau et connexions Internet.

    Installer l'interface utilisateur (sous Windows)

    Le GUI Firewall-1 devrait être installé sur un système Windows avant ou juste après vous ayez installé les modules de firewall sous Linux. Pour faire ceci, vous devriez insérer le cdrom dans votre lecteur Windows, et suivez les instructions dans le programme d'installation. Si le programme d'installation ne commence pas automatiquement alors vous pouvez l'exécuter manuellement du cdrom (utilisez le programme de SETUP.EXE dans le répertoire \windows\CPMgmtClnt-41 sur le CD).

    Dans le prochain episode

    Cet article a offert une brève vue d'ensemble de Check Point Firewall-1 pour Linux, y compris des procédures d'installation, des procédures de préinstallation et de post-installation. Le prochain article de cette série en trois parties couvrira les concepts Firewall-1 tels que des objets de réseau, des règles de firewall, des règles de translation d'adresses, et NAT, aussi bien que des dispositifs et des limitations de Firewall-1. L'article final discutera alors des aspects de Firewall-1 tels que la disposition des fichiers et des répertoires, les rulesets, la migration d'une installation Firewall-1 existante de passer à Linux, et les configurations de sauvegarde et de secours.


    Traduit par Nightbird http://www.nightbirdfr.com/
    Article original http://www.securityfocus.com/focus/linux/articles/checkpoint1.html