Open Source im professionellen Einsatz
Linux-Magazin 02/2003

Checkpoint Secure Platform: Schnell installierbares Linux inklusive Firewall-1

Schnell härtend

Mit der Secure Platform bietet Checkpoint ein gehärtetes Red Hat Linux zusammen mit der Firewall-1 NG aus dem eigenen Haus an. Damit ist es einfach, die Firewall in kurzer Zeit selbst zu installieren - ohne die sonst übliche Hilfe von Integratoren und Consultants.

996

Die Checkpoint Secure Platform[1] kombiniert auf einer CD die kürzlich erschienene Checkpoint Firewall-1 NG FP3 (Next Generation, Feature Pack 3) mit einer abgespeckten und gehärteten Linux-Distribution. Die CD ist auf Intel-Systemen bootfähig und installiert in wenigen Minuten eine stark angepasste Red-Hat-Distribution inklusive der Checkpoint-Software.

Die Installation hinterlässt ein hervorragend gesichertes System. Tiefere Linux-Kenntnisse, wie sie für die Systemhärtung und eine sinnvolle Partitionierung erforderlich sind, muss der Admin bei diesem Produkt nicht mitbringen. Um die wenigen Fragen im Verlauf der Installation richtig zu beantworten, benötigt er nur grundlegendes Wissen über die Struktur der Firewall-1 und ihre Lizenzierung. Mit der Secure Platform ist es für Endkunden somit leichter geworden, die Firewall-1 selbst aufsetzen und beim Integrator nur noch die Lizenz (siehe Kasten "Lizenzierung") und den Datenträger einzukaufen.

Salopp ausgedrückt funktioniert der Checkpoint-Markt in Deutschland nach dem Coca-Cola-Prinzip: Der Getränke-Hersteller gibt sein Produkt an Franchising-Partner ab, die es abfüllen und an Distributoren weiterverkaufen. Von dort geht es an die Endverkäufer, dann erst kommt der Kunde ins Spiel. Mit der Firewall-1 ist es ganz ähnlich. Checkpoint gibt seine Produkte an Distributoren auf den europäischen Märkten, von dort geht es zu den Integratoren, die dem Endkunden dann sowohl das Produkt als auch die benötigten Consulting-Leistungen verkaufen.

Die Secure Platform durchbricht diesen Ablauf, sie ist bereits fertig integriert. Was den Kunden freut, birgt auf dem europäischen Markt einigen Sprengstoff. Integratoren wollen schließlich nicht nur Lizenzen durchreichen und im Notfall, wenn eine Eigeninstallation doch nicht skaliert, die Feuerwehr spielen.

Installation

Die Installation der Secure Platform läuft ab wie die einer Mini-Linux-Distribution. Das System bootet von der CD in einen textbasierten Installer, stellt einige Fragen (Tastatur, 2-Tier- oder 3-Tier-System ...) und installiert in etwa vier Minuten eine funktionstüchtige Fire-wall-1. Fehler, die unter Umständen nicht mehr auszubügeln sind, können dabei lediglich an zwei Stellen passieren: Zum einen fragt der Installer, ob man ein Enterprise- oder ein Small-Office-System wünscht (Abbildung 1). Der zweite Stolperstein ist die Products Configuration: Diese detaillierte Konfigurationsmöglichkeit steht nur im Enterprise-System zur Verfügung.

Die Auswahl Small Office oder Enterprise wirkt sich auf die Produktauswahl im nachfolgenden Dialog (Abbildung 2) und auf das installierte System aus. Ein Small-Office-System lässt sich nur per HTTPS und Webserver (»admin_httpd«, »cp_httpd«) konfigurieren, ein Zugang per SSH ist hier nicht vorgesehen. Diese Option ist damit nur für kleine Netz mit weniger als 25 Clients geeignet. Bei größeren Netzen ergeben sich Probleme mit der Skalierbarkeit, der Admin hat dann doppelte Arbeit.

Einen ganz anderen Eindruck macht das System, das mit der Enterprise-Option entsteht. Installiert werden 94 RPM-Archive mit 210 MByte Software, ohne Webserver, aber inklusive OpenSSH. Es gibt keine Möglichkeit, während der Installation die Paketauswahl, die Partitionierung oder den Hostnamen zu ändern. Tabelle 1 zeigt die Partitionierung des fertigen Systems, die Checkpoint-Software befindet sich unterhalb des »/opt«-Verzeichnisses.

Viele Pakete unterliegen der GPL oder der BSD-Lizenz, die Checkpoint-Software untersteht aber einer proprietären Lizenz. Alle Paketnamen enden auf »cp«, zum Beispiel »bash-2.05-8cp«. Bei GPL-Paketen muss Checkpoint die eventuell veränderten Quellen offen legen. Weil uns die Bash besonders interessierte, haben wir die Quellen angefordert und binnen 24 Stunden auch erhalten. Zumindest die Bash unterscheidet sich im Inhalt nicht vom GNU-Original, trotz des »cp«-Kürzels. Der einzige Unterschied ist die Größe der Archive, das lässt sich aber auf die Komprimierung (Gzip, Bzip2) zurückführen.

Secure Platform

Hersteller: Checkpoint[2]

Inhalt: Stark abgespecktes und gehärtetes Red Hat Linux, zusammen mit Checkpoints Firewall-1, Floodgate-1, Policy Server, User Authority Server und Smartview Monitor. Alle Produkte in Version NG (Next Generation), Feature Pack 3 (FP3).

Lizenz: Ab 3240 Euro für 25 IP-Adressen, Details siehe Kasten "Lizenzierung". Teile der Secure Platform unterstehen der GPL oder der BSD-Lizenz.

Hardware: Intel-Plattform, mehrere Netzwerkkarten. Details siehe Kasten "Hardware-Anforderungen".

Härtung und Betrieb

Das installierte System hinterlässt einen überzeugenden Eindruck. So befinden sich unmittelbar nach der Installation keine Set-UID-Dateien auf der Festplatte, kein Dienst wird über den Inetd gestartet, das System akzeptiert (wegen der installierte Cracklib, siehe Abbildung 3) nur sichere Passwörter. Der Remote-Zugang ist nur per SSH möglich, direkte Root-Logins sind nicht erlaubt.

Weder für GNU-Pakete noch für die proprietäre Software stehen Manpages zur Verfügung. In der Vergangenheit waren Manpages zahlreicher Unix-Derivate (etwa Solaris, FreeBSD und Red Hat) ein beliebter Angriffspunkt für Rootkits. Zumeist haben diese Sicherheitsprobleme mit dem Catman-System zu tun, das für das Cacheing und Anzeigen von formatierten Texten zuständig ist. Catman funktioniert Set-GID (Gruppe »man«) oder gar Set-UID (User »man« benötigt sogar eine gültige Login-Shell). Es gibt Vorschläge, den regelmäßig wiederkehrenden Sicherheitslöchern ein Ende zu bereiten: Statt vorformatierte Texte anzuzeigen, müsste der Man-Viewer die Seite jedes Mal neu aufbereiten.

Das eigentlich Interessante dieser Distribution liegt tiefer. Von den Einträgen in »/etc/passwd« sind nur die beiden Benutzerkennungen Root und Admin (welche beide die UID »0" haben) aktive User. Ein Remote-Login per SSH ist nur dem Benutzer Admin möglich. Er erhält als Login-Shell die proprietäre CP-Shell (deren Quellen nicht zur Verfügung stehen). Die Shell ähnelt mehr dem Cisco IOS als einer klassischen Unix-Shell. Nach der Eingabe eines Fragezeichens präsentiert sie eine Liste mit allen Befehlen, die sie anbietet.

Die CP-Shell enthält (so jedenfalls in der Enterprise- Installation) eine ganze Reihe eingebauter Kommandos, von denen sich der größte Teil auf die Checkpoint-Software bezieht. Diese Kommandos genügen, um eine Firewall-1 zu administrieren. Kommandos zum Konfigurieren der Secure-XL-API (Checkpoint Performance Pack zum Erhöhen des Durchsatzes) und Befehle für Cluster-XL sind ebenfalls vorhanden.

Abbildung 1: Bei der Installation bietet die Secure Platform eine Enterprise- und eine Small-Office-Version zur Wahl. Letztere ist recht unflexibel, da sie sich nur per Web-Oberfläche administrieren lässt.

Abbildung 2: Der Admin kann neben der Firewall-1 noch weitere Produkte von Checkpoint mitinstallieren. Diese Auswahl unterscheidet sich, je nachdem, ob er ein Enterprise- oder Small-Office-System gewählt hat.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Löchrige Firewall-1

    In der Sicherheitslösung "Firewall-1" des Softwareherstellers Checkpoint haben spanische Spezialisten mehrere Sicherheitslücken entdeckt und stellen deshalb deren Zertifizierung nach Common Criteria EAL4+ in Frage.

  • Doppelt beschirmt

    Die Firewall-1 von Checkpoint zusammen mit der Cluster-Software Rainwall auf einem Rack-PC unter Red Hat: Mit 4 Your Safety hat die Siemens-Tochter SBS eine Firewall-Appliance für gehobene Ansprüche im Programm. Sie spielt zwar in der oberen Preisliga, bietet aber auch viel Leistung fürs Geld.

  • Waldarbeiter

    Im Wald von zigtausend belanglosen Logfile-Einträgen die wertvollen Hölzer erkennen und einsammeln - das ist die schwere Pflicht des Firewall-Admin. Dazu braucht er passende Werkzeuge, die ihm einen Überblick geben und zudem die Details beschreiben. Dieser Artikel vergleicht zehn Tools.

  • Digitale Auferstehung

    Unterbricht der Anwender ein Programm, das eine länger dauernde Berechnung durchführt, bleibt ihm normalerweise nur der Neustart. Berkeley Lab Checkpoint/Restart erweitert Linux-Prozesse um Funktionen, die abgebrochene Prozesse fortsetzen. Das macht Cluster weniger störanfällig.

  • Zentral gesteuert

    Der Simple Security Policy Editor (SSPE) sorgt für Ordnung im Netz - mit ihm behalten Admins die Kontrolle über die Sicherheitsrichtlinien mehrerer Firewalls. Das Tool generiert aus der zentralen Policy eigene Regelsätze für die im Netz verteilten Paketfilter und VPN-Gateways.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.