STONEGATE Solución integral de seguridad Maria.campos@stonesoft.com Stonesoft Corporation
PROBLEMÁTICA DE LAS UNIVERSIDADES EN SEGURIDAD Stonesoft Corporation
Infraestructura (II) Mayor inteligencia en la red ¿Application Switch? Núcleo de la red Conmutado y con routing Fibra óptica Análisis de tráfico: nivel 7 y monitorización Loging a red, balanceo de carga, proxy… Arquitectura de red DMZ Cortafuegos Proxy Direccionamiento privado ? Mayor inteligencia en la red ¿Application Switch? Stonesoft Corporation
Servicios (II) Aplicaciones gestión Servicios personalizados Servicios corporativos Aplicaciones gestión Servicios personalizados Servicios de proveedores Revistas electrónicas Bases de datos on line Servicios públicos Web FTP… SSL / SSH / IPSec LDAP PKI VPN Aceleradores Stonesoft Corporation
Puesto de trabajo Comunidad Universitaria Accede a todos los tipos de servicio Comunidades de interés Grupos de investigadores que acceden a recursos de otros grupos Empresas colaboradoras Mantenimiento y gestión de aplicaciones SSL / SSH / IPSec LDAP PKI VPN Stonesoft Corporation
¿Cómo puede Stonesoft dar respuesta a las necesidades de seguridad en el entorno universitario?
Solución INTEGRADA y GLOBAL de seguridad Internet Múltiples ISP’s Redundant Multi-ISP hw solution Redundant Multi-ISP inbound LB hw solution Management server H A DMZ Redundant Inbound LB hw solution Additional HA software solution Internal network Stonesoft Corporation
Aproximación tradicional: Diseño High Availability Software Tradicional = varios niveles SO, necesita securización, patches, mantenimiento Firewall, necesita configuración, mantenimiento HA necesita configuración, mantenimiento Firewall Software Operating system
Software Appliance Firewall VPN Load balancing Clustering and HA Multi-Link Tech. Operating system
Firewall de Alta Disponibilidad Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta disponibilidad de las redes El primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples ISP’s PRINCIPIOS DE DISEÑO Sistema operativo cerrado y securizado basado en Linux: Seguridad garantizada + incremento del rendimiento Hardware estándar Soporte proporcionado por StoneSoft Throughput y performance para atender grandes volúmenes de tráfico (multi-thread)
Seguridad máxima Multi-Layer Inspection Un paso más allá del Stateful Inspection Seguridad a nivel de aplicación Flexible de gestionar Transparente Stonesoft Corporation
Clustering StoneGate™ Internet Node 1 CVI 0 CVI 1 NDI A,1 Interfaces on NIC ID0 Interfaces on NIC ID1 NDI C,1 NDI B,1 NDI D,1 NDI A,0 NDI B,0 NDI C,0 NDI D,0 Node 2 Node 3 Node 4 CVI: Cluster Virtual Interface NDI: Node Dedicated Interface Inter-node communications Traffic on CVIs Traffic on NDIs Local network Stonesoft Corporation
Tecnología Multi-Link: Acceso inininterrumpido a la red Múltiples conexiones con ISPs StoneGate proporciona fail-over y balanceo de carga Tres formas de operación: Tráfico saliente Tráfico entrante Túneles VPN ISP A Internet LAN ISP B ISP C Stonesoft Corporation
Multi-Link: Balanceo saliente de ISPs Local network Internet NetLink 1 NetLink 3 NetLink 2 Firewall cluster Source host Destination host Step 2: FW sends SYN packets through all available ISP and measures RTT Step 3: FW selects fastest route and connection is opened between hosts Step 1: Connection request to destination host on the Internet
Tecnología Multi-Link: Túneles VPN Multi-Link VPN crea subtúneles utilizando cada camino posible LAN Multi-Link monitoriza el estado y performance de todos los subtúneles ISP A ISP B ISP C A mejor performance en un subtunel, mayor tráfico tendrá asignado Internet Si un subtunel falla, el tráfico será failed over a los otros subtúneles ISP Y ISP X LAN Stonesoft Corporation
¿Qué ganamos con Multi-Link? Performance Stonesoft Corporation
Arquitectura GUI client Engine 2 Engine 1 Engine 3 Firewall cluster SSL Engine 2 Engine 1 Engine 3 Firewall cluster . . . Engine 16 Database Management- server 2 Log-server 1 n Management system
Arquitectura StoneGate Un Ejemplo Frankfurt LAN GUI client Log server Internet San Francisco LAN GUI client Management server GUI client Atlanta LAN Log server Stonesoft Corporation
Flexibilidad de Gestión Management GUI Screenshot Management totalmente centralizado S.O. gestionado desde la GUI Routing Anti-spoofing Proxies ARP automáticos NAT and VPN Herramientas potentes para la política de seguridad Logs almacenados en base de datos Monitorización desde la GUI con estadísticas StoneGate’s Flexible Management System reduce los errores de operador y administrativos Stonesoft Corporation
Gestión del cluster built-in Routing, entradas proxy ARP y direcciones IP se configuran una sola vez para el cluster
Gestión del routing flexible Configuración de rutas
Gestión automática del Anti-spoofing Reglas de anti-spoofing generadas automáticamente Stonesoft Corporation
Entradas proxy ARP automáticas Entradas proxy ARP se crean automáticamente (por ejemplo con reglas de NAT)
Gestión de VPNs flexible Definición única en la regla base
Gestión de la política de seguridad con herramientas potentes y flexibles Plantillas regla base y herencia
Logs almacenados en una base de datos Facilidad de filtrado y búsqueda Exportación a archivos Generación de alertas Log data for observation for a suitable time after created Database Log browser Discard after archiving (only if huge volumes) Archive files Log data for archiving Discard before storing / transient entry Log data for occasional observation Immediate discard / no log entry Log data not wanted Stonesoft Corporation
Monitorización desde la GUI Estadísticas continuas sobre firewalls en la GUI
Precio/Performance de los líderes de mercado StoneGate with standard hardware 1,35 Gbps throughput 1,000,000 concurrent connections AES256 - 165 Mbps VPN throughput with one node (2 CPUs a 700 MHz) 10,000 concurrent VPN tunnels (memory specific) Price of hardware without StoneGate software USD 4,000 Nokia IP740 1,75 Gbps 1,000,000 concurrent connections AES256 - 90 Mbps VPN throughput - 1,7 GHz Xeon 154 Mbps 3DES throughput with hw acceleration 10,000 concurrent VPN tunnels Price without CP software USD 55,000
Nuevas funcionalidades en StoneGate 2.0 VLAN tagging (802.1q) IP routing multicast estático Soporte de la familia de protocolos H.323 Actualizaciones de firewalls remotos Auditing Log archive browsing Topología VPN hub (star) IP dinamicas para VPN GW externos Stonesoft Corporation
Algunas Referencias C O L T
”Best Prefered VPN” September 2002 April 2002 Edition ”Best Prefered VPN” September 2002
SoftWare Appliance Approachs StoneGate convierte cualquier servidor intel o SPARC en un ”appliance” de seguridad Alto rendimiento Alta seguridad (SO propio integrado) Gran Escalibilidad (multi-CPU) Algunas plataformas SUN e Intel...
StoneGate Appliance Product Family Main office gateway Large Enterprise Management solution Branch office gateway Large Enterprise Medium Enterprise Remote office gateway Small Enterprise SOHO Small office gateway SME Management solution Mobile User
StoneGate - Todo en uno Soluciones de varios fabricantes: - riesgo técnico alto - coste más elevado debido a varias tecnologías, acuerdos de soporte & mantenimiento
StoneGate 3.0 Target release: 2H 2003 New features built-in network diagram editor advanced server load balancing protocol agent API bandwidth management SIP protocol agent new alert notification server StoneGate 3.0 marks a new milestone for the flagship StoneGate firewall and VPN solution. Targeted for the first half of next year, the product should be enhanced with a built-in network diagram editor, and new advanced server load balancing, which supports the use of agents on the back-end servers being monitored. A protocol agent API, or application programming interface, will enable third-parties to define their own custom protocol agents to enhance the security of the StoneGate system. The ability to control quality of service and the use of bandwidth will also be added, and a new alert notification system will make its debut. Stonesoft Corporation