View
10
Download
0
Category
Preview:
Citation preview
Pag. 2 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Sommario
Capitolo 1 – Introduzione ____________________________________________________________________ 3
Capitolo 2 – Elementi Architetturali Differenzianti ________________________________________________ 4 StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. ______ 4 StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva. ______________________________ 12 Il sistema di gestione Stonegate Management Center _________________________________________ 14
Capitolo 3 – Certificazioni ___________________________________________________________________ 21
DOCUMENTO AGGIORNATO ALLE VERSIONI:
StoneGate Management Center: 4.0
StoneGate Firewall/VPN: 3.0
StoneGate IPS: 4.0
Pag. 3 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
CAPITOLO 1 – INTRODUZIONE
Questo documento riporta una panoramica su caratteristiche peculiari della piattaforma
StoneGate per la sicurezza logica.
L’idea è di fornire una base informativa per meglio definire offerte tecnologiche e
specifiche di progetto.
Le informazioni sono declinate come funzionalità singole della tecnologia StoneGate,
parte integrante e fondamento della Stonesoft StoneGate Security Platform.
StoneGate Firewall, VPN e IPS, con il relativo StoneGate Management Center
costituisce la Stonesoft Network Security Platform, schematizzata di seguito:
Tale architettura rappresenta la visione d’insieme della tecnologia Stonesoft per la
sicurezza logica e la business continuity e vede la soluzione StoneGate “declinata” in tre
tipi di funzionalità operative:
Concentratore VPN
Firewall, con funzionalità di VPN
IPS, con funzionalità di detection precisa, risposta proattiva a supporto
dell’Incident Management e correlazione intelligente di eventi.
Le tre funzioni (con la sola eccezione della VPN, presente anche su Firewall) non sono
combinabili in un’unica macchina, ma sono implementabili in diversi punti della rete data
l’elevata specializzazione di ogni componente, sia questo proposto come Software
Appliance (StoneGate da installare su un server Intel general purpose senza sistema
operativo – es. http://www.stonesoft.com/en/products_and_solutions/
supported_platforms/intel_servers/) o come Appliance
(http://www.stonesoft.com/en/products_and_solutions/
supported_platforms/fw_vpn_appliances/).
Pag. 4 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
CAPITOLO 2 – ELEMENTI ARCHITETTURALI DIFFERENZIANTI
La tecnologia StoneGate presenta molteplici elementi innovativi e differenzianti, di cui
questa sezione fornisce una panoramica di massima.
StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico.
Funzione principe del modulo StoneGate Firewall e VPN è la realizzazione di sistemi di
protezione perimetrale logica (firewalling) con possibilità di agire da concentratore di
tunnel cifrati VPN.
È altresì possibile implementare StoneGate come puro concentratore di tunnel VPN
senza funzioni di discriminazione del traffico e firewalling.
Gestione completamente centralizzata di interfacce, routing e antispoofing.
Spesso le soluzioni di firewalling software presentano carichi di gestione “nascosti”, quali
ad esempio l’impossibilità di configurare da interfaccia grafica elementi quali indirizzi
MAC e IP di interfaccia oppure instradamenti ed anti-spoofing.
Grazie all’interazione tra nodo firewall e centro di gestione StoneGate Management
Center, diventa possibile gestire in modo grafico, semplificato e con controllo di errore
tutti questi parametri in modo centralizzato, inviandoli successivamente al nodo con
l’operazione di pubblicazione della configurazione.
A valle di una pubblicazione di successo, il nodo tenta di raggiungere il sistema di
Management con le nuove informazioni di routing e, in caso di impossibilità, esegue il
“roll-back” all’ultima configurazione corretta.
Questo accorgimento evita di rendere un firewall o firewall cluster irrangiungibile a causa
di errori di configurazione umani.
Controllo approfondito a livello IP e TCP
Caratteristica “genetica” di StoneGate Firewall e VPN è il controllo del pacchetto IP sia
per la coerenza delle opzioni di protocollo che per checksum.
Per quanto riguarda il protocollo TCP, StoneGate verifica sia un controllo di handshake
sulle regole ove prevista stateful inspection sia un controllo dei flag TCP pertinenti ad
ogni stato del protocollo.
È prevista anche la gestione della frammentazione di pacchetto, così come servizi
generici per tipi di protocolli IP diversi da UDP, TCP, ecc.
Scalabilità networking e processing verticale
StoneGate, oltre alla scalabilità orizzontale offerta dal clustering con load balancing
dinamico, offre una interessante scalabilità orizzontale grazie a:
Supporto SMP, che permette l’utilizzo efficiente di risorse di processing su
macchine multiprocessore
Gestione fino a 254 interfacce di rete fisiche
Gestione VLAN Tagging 802.1q con definizione fino a 4094 VLAN per
interfaccia fisica
Supporto multicast IP static routing e policy routing
Gestione proxy e static ARP da GUI centralizzata senza necessità di operare su
nodo firewall
Pag. 5 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Supporto IP Dinamico e DHCP Relay
StoneGate supporta IP dinamico su interfaccia di controllo e come VPN endpoint su
firewall singolo. L’indirizzo IP dinamico può essere non ruotabile ed è utilizzabile in
combinazione con la tecnologia Multi-Link®.
La funzionalità di DHCP Relay, inoltre, permette il forwarding su tunnel VPN o in chiaro
di richieste DHCP provenienti da client di una delle reti protette verso un server DHCP.
Caratteristiche del cluster di firewall
StoneGate include un sistema di clustering di tipo “active-active”, caratterizzato da
elevata scalabilità fino a 16 nodi per cluster logico con failover di sessione trasparente in
caso di guasto del nodo gerente una data sessione.
Il cluster si presenta in rete come Network Single System Image, cioè in completa
trasparenza a livello 2 e 3 del modello di riferimento ISO/OSI con una modalità operativa
esclusiva di Stonesoft e chiamata Drop-In Firewall Clustering, senza impatto su
dispositivi di switching e routing circostanti il firewall cluster.
Ulteriori dettagli su questa modalità sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/features/gateway_clustering/
La scalabilità elevata presenta particolare interesse nelle funzionalità VPN in quanto si
traduce in aggregazione di throughput, grazie alle caratteristiche di load balancing che
sfruttano la potenza computazionale delle singole macchine componenti il cluster in
modo aggregato.
Gestione di più link ad Internet in modalità aggregata con StoneGate Multi-Link®
StoneGate include la tecnologia Multi-Link® per la gestione di più link a Internet in
modalità aggregata.
Per ogni connessione, StoneGate seleziona automaticamente il link più performante in
base alla destinazione da raggiungere.
Brevettato in tutto il mondo da Stonesoft, il sistema mantiene la massima trasparenza in
rete grazie alla metodologia utilizzata, basata su tecniche di NAT.
Ulteriori informazioni su StoneGate Multi-Link sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/features/isp_multi-homing/
Bandwidth Management e QoS
StoneGate Firewall include un’infrastruttura tecnologica per gestire sia garanzie che
limitazioni di banda e Quality of Service secondo gli standard.
Grazie ad un’elevata granularità di configurazione, è possibile classificare il traffico e
distinguere le classi per priorità (1 – 16), garanzia di banda (bps o %) e/o limite
(bps o %). La classificazione è effettuata nella security policy utilizzando uno dei possibili
campi di corrispondenza quali IP sorgente, destinazione o servizio. La selezione di
classe non è un’azione, per cui la stessa classificazione può permettere traffico o inviarlo
a VPN o impostare situazioni di banda/priorità per un gruppo di regole a seguire.
Una volta classificato il traffico, priorità e garanzie/limiti di banda possono essere
impostati singolarmente per ogni classe in una policy QoS, associabile ad un interfaccia
del firewall per cui la policy viene applicata. Diverse interfacce possono avere la stessa
policy o policy QoS differenti, aumentando ulteriormente la flessibilità di
implementazione, soprattutto se utilizzato con configurazioni MultiLink.
Pag. 6 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Gestione di Servizi con QoS
In ottica di fornire QoS “end-to-end”, non è sufficiente gestire la banda e la priorità del
traffico a livello StoneGate Firewall, ma diventa necessario “informare l’intera catena di
gestione del traffico” anche in caso di VPN.
StoneGate consente di “marcare” i pacchetti in uscita utilizzando il campo DSCP
(Differentiated Services Codepoint). I valori di tale campo sono definiti opzionalmente
per ogni classe nella policy di QoS, consentendo una marcatura differenziata anche per
interfaccia. Anche in caso di VPN, quindi, il valore del campo DSCP viene copiato dal
pacchetto nell’header IPSec permettendo una gestione ottimale dei flussi.
Se un dispositivo QoS esterno ha già classificato il traffico e la classificazione è leggibile
dal campo DSCP, non c’è necessità di rifare la classificazione a livello di Security Policy
StoneGate, in quanto i valori del campo DSCP possono essere mappati direttamente
alle classi QoS in StoneGate semplicando la gestione.
Multi-Layer Inspection® per firewalling senza compromessi
Altro brevetto internazionale di Stonesoft, il sistema di ispezione del traffico incluso in
StoneGate permette la massima flessibilità nella configurazione dei livelli di ispezione
grazie alla tecnologia dei Protocol Agents.
È l’Amministratore del firewall, quindi, a decidere la granularità (a livello della singola
regola) con cui ispezionare il traffico a livello applicativo, così come la metodologia da
utilizzarsi (packet filter, statefull inspection, controllo applicativo con redirezione a
Content Inspection Server esterno) e timeout di protocollo specifici e necessario.
I Protocol Agent sono utilizzabili per la gestione efficiente di protocolli “complessi” quali
ad esempio Oracle TNS, H.323, NetBIOS, FTP, SSH ecc. sia per quanto riguarda la
presenza di indirizzi IP riportati nel pacchetto dati (es. in caso di NAT) che per quanto
attiene a ispezione di opzioni particolari di protocollo (es. handshake SSH, dimensione
pacchetto dati Oracle, passive/active FTP, ecc.)
Altri Protocol Agents esistono per TCP Proxy, Microsoft Exchange RPC/EPM, TFTP e
SIP in aggiunta alla dozzina già esistente.
Questa evoluzione tecnologica si traduce in tecnologia abilitante, unitamente alle
caratteristiche di Bandwidth Management e QoS descritte più avanti nel documento e a
caratteristiche “storiche” di StoneGate quali MultiLink, per la gestione efficace di una
soluzione di traffico voce su rete IP ad altissima resilienza “end-to-end”.
In particolare, il protocollo SIP viene gestito da tre punti di vista:
apertura dinamica delle porte necessarie alla comunicazione
verifica pattern di conformità del protocollo
gestione e conversione indirizzi NAT a livello di payload
Pag. 7 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Deep Inspection per HTTP e SIP
Inclusa in StoneGate Firewall Engine è la possibilità di ispezionare in profondità già a
livello firewall i protocolli HTTP e SIP. La ragione di questa “concessione” alla purezza di
funzione caratterizzante le soluzioni Stonesoft è l’utilizzo di HTTP e SIP sempre più
frequentemente come “canale preferenziale” per attacchi ai Web Services o per attacchi
di intrusione molto pericolosi.
StoneGate Firewall è in grado, per i soli protocolli HTTP e SIP, di eseguire ispezione
sintattica del protocollo e/o di riconoscere signature con supporto di Regular Expression
e possibilità di personalizzare le signature incluse e la configurazione del controllo
sintattico.
Aggiornamenti delle signature e dei moduli di inspection utilizzano il processo di
Dynamic Update già presente in StoneGate Management Center per StoneGate IPS
descritto più avanti nel documento.
Pag. 8 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Per quanto concerne l’interoperabilità con sistemi di terze parti, l’architettura StoneGate
utilizza meccanismi di comunicazione aperto e standard che ben consentono
l’integrazione efficaci di componenti di sicurezza specializzati quali antivirus, URL
filtering, content inspection, syslog centralizzati, ecc.
Il vantaggio architetturale sta proprio nella virtuale assenza di prerequisiti particolari da
ricercare nel “Content Inspection Server” che si desidera utilizzare, in quanto
quest’ultimo deve:
disporre di un’identità IP
ascoltare su una porta TCP
Data la natura particolarmente standard di questi requisiti, diventa semplice
l’integrazione di StoneGate (grazie ai Protocol Agent) con prodotti CIS per HTTP, SMTP
ed FTP di terze parti, come rappresentato nello schema che segue:
Per dare più consistenza a quanto teorizzato, riporto due link a schemi di
implementazioni con tecnologie di Content Inspection reali:
Interoperabilità tra StoneGate e Trend Micro:
http://www.stonesoft.com/files/support/StoneGate/HowTo/SG_HOWTo_Trend_
CIS_20030728_online.pdf
Interoperabilità tra StoneGate e WebSense:
http://www.stonesoft.com/files/support/db/1201/SG_HWTO_Websense_CIS_20
030728_online.pdf
Pag. 9 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Rulebase gerarchica con utilizzo di Alias
L’ispezione di traffico in StoneGate avviene tramite l’utilizzo di una rulebase in modalità
gerarchica, che permette di definire “rilanci” a rulebase separate creando così una
struttura ad albero.
Ciò porta un vantaggio gestionale grazie all’utilizzo di rulebase “secondarie” richiamabili
da più rulebase “principali” (ad es. “rulebase per HTTP” o “rulebase per traffico DMZ”).
Le rulebase principali restano così compatte e definite per macro-regole, con
conseguente minor tempo di attraversamento e miglioramento prestazionale.
Ulteriore aspetto differenziante di StoneGate è la possibilità di utilizzare Alias nella
definizione delle regole di discriminazione traffico e NAT.
Questa tecnica permette di concettualizzare gli elementi che compongono le regole
(es. $WebServer, $_Rete_Interna), costruendo policy che assumono significato locale in
base al firewall su cui vengono pubblicate.
Ad esempio, $WebServer potrebbe valere 10.10.10.10 per il firewall A e 192.168.10.10
per il firewall B.
L’effetto è di consentire una migliore gestione di regole con drastico abbattimento dei
Total Cost of Administration (TCA).
Gestione NAT
Configurato e manutenuto in modo consitente e semplice grazie all’interfaccia grafica, il
supporto di Network Address Translation in StoneGate è flessibile e completo.
Include Network e Port Address Translation, statico e dinamico, con possibilità di gestire
NAT di sorgente e destinazione simultaneo con configurazione automatica di proxy ARP
relativi.
Autenticazione
StoneGate supporta sistemi di autenticazione basati su identificativo utente e password
con database utenti interno o esterno con sistema LDAP standard e protocolli ldap e
ldaps.
Sono gestiti sistemi di autenticazione di backend basati su protocolli Radius e Tacacs+.
StoneGate è certificato “RSA SecureID ready” e “RSA Keon ready”
VLAN Tagging
StoneGate supporta il protocollo 802.1Q per la definizione di più VLAN sulla stessa
interfaccia fisica di rete grazie alla tecnica definita tagging.
Il limite è di 4094 tag per interfaccia fisica.
Dynamic BlackListing
Permette all’amministratore del sistema di intervenire tramite GUI per effettuare azioni di
blocco o quarantena a tempo di connessioni istantaneo su firewall.
Utile per reagire di fronte a emergenze senza tempi (necessariamente più lunghi) di
modifica e installazione di policy.
La funzionalità di Dinamic BlackList è completamente interoperabile con StoneGate IPS
come descritto più avanti nel documento.
Pag. 10 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
StoneGate come Traffic Load Balancer: la tecnologia Multi-Link
Tra le interessanti funzionalità incluse in StoneGate è la possibilità di bilanciare il traffico
tra più sistemi di connettività (sia semplici tipo router, sia “complessi” tipo HSRP, VRRP
o BGP) sia in uscita che in entrata, interoperando se desiderato con un sistema DDNS
affinchè i servizi esposti per bilanciamento in entrata vengano aggiornati a livello DNS in
base alla reale disponibilità.
Per quanto concerne il traffico in uscita, il sistema effettua una misurazione costante e
dinamica del RTT (Round Trip Time) in base alla destinazione da raggiungere,
instradando di conseguenza la connessione sul link empiricamente più performante.
Terzo scenario operativo della tecnologia MultiLink, combinabile a piacere con i primi
due (inbound e outbound traffic load balancing) riguarda il bilanciamento di sessioni in
ingresso verso un pool di server.
StoneGate rileva la disponibilità dei singoli server in un gruppo definito sia in base a
probing ICMP sia tramite agenti “application-agnostic” da installare sui diversi server e
inclusi in StoneGate, permettendo un bilanciamento delle sessioni con diversa
granularità (classe IP chiamante, singolo IP, singola sessione) e garantendo persistenza
di sessione salvo indisponibilità del server destinatario.
VPN
StoneGate implementa un sistema VPN IPSec, la cui interoperabilità è garantita da
certificazioni “super partes” quali VPN Consortium (http://www.vpnc.org) a livelli base ed
avanzati.
Supporta i seguenti algoritmi di sicurezza logica:
Cifratura
o AES-128
o AES-256
o DES
o 3DES
o Blowfish
o Twofish
o Cast-128
Message Digest
o MD5
o SHA-1
Gruppi Diffie-Helmann
o 1, 2, 5
Consente l’utilizzo di pre-shared keys, così come di certificati digitali X.509 con
possibilità di utilizzare CA esterne con relative CRL.
VPN e Multi-Link®
Grazie alla combinazione di VPN con l’innovativa tecnologia Multi-Link®, StoneGate
permette la gestione efficiente di più connessioni geografiche di tipo IP, siano esse
permanenti (ISP, linee dedicate) o dial-up, eseguendo load balancing a livello di
pacchetto.
Grazie ad un metodo indipendente dalla classe IP utilizzata su un dato link, è possibile
configurare le connessioni geografiche affichè siano permanentemente utilizzate nel
load balancing (active-active) o solo se i link primari non siano disponibili (stand-by).
Ciò permette di realizzare VPN ad elevatissima disponibilità e con un eccellente grado di
sicurezza grazie agli algoritmi di cifratura ed all’instradamento su più link (e su più reti)
dei pacchetti.
Pag. 11 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Lo schema che segue riporta una situazione di esempio:
Client Security
Realizzata tramite l’applicativo VPN Client, incluso in StoneGate per utenze illimitate,
permette l’estensione della sicurezza logica a livello desktop per l’utilizzo locale in
azienda o “mobile”.
Alcune tra le caratteristiche più interessanti sono:
front-end per autenticazione
client VPN, con supporto per autenticazione ibrida o certificate-based con
utilizzo di smart card e token USB
funzioni di personal firewalling, grazie ad un Active Packet Filter con sensibilità
per location. Questo sistema avanzato implementa automaticamente una
strategia di packet filtering a seconda della classe IP su cui si trova l’utente
application control, che consente l’identificazione ed il controllo dell’attività
applicativa sul desktop utente (es. autorizzazione istanza di una applicazione).
supporto di Windows Domain Logon su VPN
supporto di Virtual IP adapter per utilizzo ad es. in scenari VoIP
possibilità di utilizzare VPN Client in modalità Multi-Link con failover trasparente
di connessioni
VPN Client include una funzione che permette il download automatico della nuova
topologia VPN in caso sia variata dall’ultimo utilizzo.
LANLAN
InternetInternet
LANLAN
ISP A ISP B ISP C
ISP X ISP Y
Leased line
Pag. 12 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva.
StoneGate IPS è un sistema basato su due entità logiche, Sensor e Analyzer, mirato a
rilevare intrusioni e tentativi di attacco informatici secondo il principio della gestione
dell’incidente tramite informazioni di log e risposte attive quali ad esempio TCP Reset
della connessione incriminata.
Obbiettivo principe della soluzione è la minimizzazione di una serie di eventi catalogati
come falsi positivi e falsi negativi tramite i seguenti criteri:
Metodi di inspection multipli:
o Fingerprinting con supporto di Regular Expression
o Validazione protocollo
o Controllo anomalie protocollo con istanze multiple
Correlazione eventi nel tempo (sequenze) e nello spazio (gruppi)
Controllo tecniche di IDS evasion con considerazione delle connessioni e non
dei soli pacchetti
In seguito a un rilevamento, il sistema ha diversi metodi di risposta, quali:
Log
Alert, con escalation progressiva e rule-based
Record connection per analisi forense
IP Blacklist (vedi descrizione più avanti nel capitolo)
TCP Reset
Drop (modalità inline, prevista in StoneGate IPS 2.0)
La soluzione è basata sull’interazione di due componenti logici lato “engine”:
uno o più IPS Sensor che riportano a un Analyzer, il quale può a sua volta riportare a
successivi analyzer prima di inviare le informazioni correlate allo StoneGate
Management Center.
Di seguito riporto uno schema funzionale della logica espressa.
Le tecniche di implementazione dei sensori possono essere tramite Span Port o Network
Wire Tap, con possibilità di aggregazione di Sensori per aumentare il throughput della
funzione di capturing.
Pag. 13 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
StoneGate IPS supporta anche la modalità “inline” di deployment; lo scenario possibile
prevede un implementazione di StoneGate IPS Sensor (o Combo se l’appliance include
anche StoneGate IPS Analyzer) in transparent mode ad interrompere fisicamente due
segmenti di rete.
A fronte di una detection di successo, l’azione intrapresa può essere attiva
nell’interrompere (silenziosamente o meno) la connessione.
A seconda dell’appliance hardware il sistema può supportare scenari di tipo “fail-open”
che garantiscano il flusso di traffico anche con IPS offline o disabilitato grazie a schede
con continuità metallica.
É infine disponibile la modalità di simulazione per verificare le azioni di drop senza effetti
sul traffico, che quindi non viene bloccato in nessun caso in quanto l’eventuale azione di
blocco occorsa viene soltanto inviata a log per informazione dell’Amministratore.
Il sistema viene aggiornato nei suoi componenti (moduli di ispezione protocollo,
fingerprint, system policy, ecc.) tramite download ed importazione cifrato di Dynamic
Update Packages dal sito Stonesoft (operazione completamente automatizzabile).
Interazione con IP Blacklist tra StoneGate IPS e StoneGate Firewall
Grazie all’elevata interoperabilità dei componenti la StoneGate Network Security
Platform, è possibile un’interazione tra StoneGate Firewall ed IPS per massimizzare la
risposta attiva automatizzando la funzionalità di BlackListing; ciò permette a StoneGate
IPS Analyzer di popolare, a fronte di un attacco rilevato da sonde StoneGate IPS
Sensor, una blacklist dinamicamente considerata da una o più interfacce di uno o più
StoneGate Firewall per bloccare temporaneamente o definitivamente fino a diversa
istruzione il traffico considerato illecito.
Esiste la possibilità, comunque, di generare “WhiteList” che, avendo priorità sulle
BlackList, impediscono che elementi legittimi ed importanti vengano inseriti nella
BlackList (per esempio per errore di configurazione).
Richieste di blacklist, provenienti da altri StoneGate Sensor possono essere gestite in
totale autonomia da StoneGate Sensor senza l’ausilio di StoneGate Firewall Engine.
StoneGate IPS include anche una sofisticata protezione da attacchi di flood tipo:
• Rate-based DoS
• SYN flood protection
• UDP flood protection
• Non rate based DoS
• Attacchi DoS basati su “Illegal input”:
Bonk, Jolt, Land, Nestea, Newtear, Syndrop, Teardrop
In caso di attacco di tipo SYN Flood, StoneGate IPS implementa una reazione
“proxy-like” che aumenta il livello di protezione dei server nei segmenti interni.
StoneGate IPS Sensor è in grado di rilevare con estrema efficacia azioni di
portscanning, anche quando perpetrate con modalità “slow-scan”.
Un’altra funzionalità, importante dal punto di vista dell’analisi e del TCA, permette di
verificare istantaneamente come un evento di interesse (log, allarme) che appare sul
Log Browser per StoneGate IPS venga visto dal punto di vista di StoneGate Firewall.
Novità 4.0
Novità 4.0
Pag. 14 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Il sistema di gestione Stonegate Management Center
StoneGate viene gestito tramite un sistema centralizzato che svolge funzioni di
Management, Log e allarmistica.
StoneGate Management Center, licenziato per numero di cluster gestiti, è scalabile,
multipiattaforma e consente un controllo completo di tutte le funzioni di Firewall, VPN e
IPS.
Una GUI rende l’amministrazione del firewall cluster accessibile in modo distribuito e con
più livelli di accesso, permettendo l’autenticazione dei profili di Administrator anche
tramite sistemi RADIUS esterni.
La gestione dei permessi di amministrazione
permette un’estrema granularità tramite un
controllo a matrice basato su diversi profili, i
quali possono operare su firewall e su policy su
cui abbiano a loro volta i diritti.
Un esempio della definizione del ruolo di
gestore è raffigurato nell’immagine a lato.
L’assegnazione dei diritti al ruolo di gestore
viene controllata in combinazione con una lista
di accesso alle risorse che determina su quali
elementi il gestore può esercitare i diritti
assegnati come raffigurato di seguito:
L’estrema flessibilità e semplicità d’uso della GUI, navigabile a finestre o a sezioni rende
molto semplice configurare funzionalità quali routing, antispoofing, NAT e regole di
accesso, il tutto tramite un’interfaccia intuitiva e consistente.
Novità 4.0
Pag. 15 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Il sistema di gestione di StoneGate a tre livelli è rappresentato dallo schema seguente:
L’interoperabilità con sistemi esterni del sistema di gestione è garantita da funzioni quali
rilancio anche filtrato dello stream di log a sistemi syslogd centralizzati o esportazione
anche real-time verso formati XML e CSV. Ciò rende possibile l’invio strutturato ed
automatizzabile di dati anche filtrati a sistemi esterni quali Tivoli, Syslog, ecc.
Sia il sistema di Alerting che i nodi sono gestibili tramite SNMP, configurato
dall’interfaccia grafica in modo completo e flessibile.
Sia StoneGate Management Server che Log Server sono clusterizzabili in logica “hot-
standby” per garantire l’alta disponibilità del sistema di gestione.
Diventa quindi possibile definire sistemi secondari sia per StoneGate Management
Server (con o senza replica automatica delle configurazioni) sia Log Server aggiuntivi
che agiscano da canale alternativo a cui inviare i log in caso di indisponibilità del Log
Server Primario.
Novità 4.0
Pag. 16 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Caratteristiche interessanti di StoneGate Management Center sono:
Log Server ad elevate prestazioni con filtro dinamico avanzato e
possibilità di redirezione traffico di Log a syslogd centralizzato
Sistema realtime di monitoraggio di Firewall, IPS, gruppi e VPN che consente di
visualizzare un grafico degli elementi statistici (carico, pacchetti per interfaccia,
connessioni scartate per sorgente, ecc.) per cui si desidera attivare il
monitoraggio.
Il sistema permette anche di avere una visione in tempo reale dello stato della
minaccia grazie alla visione di sintesi degli allarmi attivi.
Un esempio nella schermata che segue:
Grazie allo strumento Log Data Manager è possibile gestire dimensioni e tipo
dei log in linea ed in archivi secondari per mantenere log e allarmi a livelli fruibili
rapidamente.
Operazioni quali rotazione dei log secondo criteri temporali relativi e assoluti,
esportazione in formati aperti, redirezione a syslogd esterno, cancellazione o
archiviazione selettiva sono pianificabili ed automatizzabili con estrema
efficacia.
I log sono memorizzati in formato compresso per minimizzare lo spazio
occupato massimizzando le prestazioni del Log Server sia nella visualizzazione
che nelle interrogazioni degli archivi storici.
Novità 4.0
Pag. 17 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Sistema di Reporting Integrato completamente personalizzabile con
possibilità di automazione dei task, comparazione di tendenza ed
esportazione dei report in formato tabellare testuale o PDF.
Con l’evoluzione di StoneGate Management Center il Reporting Manager si
arricchisce di nuovi elementi di aggregazione dei dati, importanti per generare
report di tipo statistico.
È anche disponibile una funzione per inviare i report in PDF direttamente via e-
mail come attachment.
Esempio di un report con layout personalizzato.
Visualizzazione grafica della configurazione, grazie al Visual Diagram.
Questa interessante caratteristica consente di creare istantaneamente una
documentazione grafica attiva della configurazione implementata, permettendo
operazioni di esportazione in formati grafici e PDF dello schema.
Ulteriori dettagli su Visual Diagram sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/products/smc/network_lay
out_editor.html
Il Visual Diagram è anche uno strumento di monitoraggio attivo dei componenti
StoneGate dell’architettura di sicurezza logica.
La figura che segue riporta un esempio di schema “attivo” in cui lo stato dei nodi
dei cluster configurati è visualizzato sotto forma di colore di sfondo:
Lo stesso strumento è utilizzabile per effettuare modifiche alla configurazione,
essendo gli elementi visualizzati interattivi e dotati di menù contestuale.
Pag. 18 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Unified Data Browser: log, alert e audit in una visione completa ed
interoperabile.
StoneGate Management Center implementa un nuovo e potente visualizzatore
di informazioni, lo Unified Data Browser.
Grazie ad un’interfaccia semplice ma molto flessibile e potente, diventa
possibile visualizzare in un’unica soluzione log, allarmi e messaggi di auditing
per una completa tracciabilità delle azioni degli engine operativi (Firewall, VPN,
IPS) e dell’attività degli amministratori di sistema.
Sono possibili anche operazioni di filtro istantaneo, di correlazione tra log ad es.
di sensori StoneGate IPS con log di StoneGate Firewall, di esportazione dati in
formati aperti (CSV, XML, PDF) e di parzializzazione delle informazioni
visualizzate in logica di massimizzazione della fruibilità delle informazioni.
La schermata che segue riporta il nuovo Unified Data Browser:
Policy Based Incident Manager.
Basato sul nuovo componente Alert Server incluso in StoneGate Management
Center, il sistema permette la gestione di allarmistica (popup, script, trap SNMP,
SMTP e SMS) con escalation progressiva e log esteso secondo canoni di:
o Incident escalation
o Alert brokering
o Gestione del momento dell’allarme con policy basate su ora e giorno
della settimana.
Dettagli sul sistema sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/products/smc/alert_escala
tion.html
Pag. 19 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Incident Case Management
StoneGate Management Center include un’infrastruttura tecnologica per la
gestione e la tracciabilità degli Incident Case.
Enorme supporto all’Incident Process Management aziendale, l’Incident Case
Management incluso in SMC permette il coordinamento di tutte le informazioni
relative ad un dato evento di sicurezza così come la gestione degli elementi
interessati dall’evento e la completa tracciabilità delle azioni effettuate,
garantendo aderenza alle più stringenti norme in materia di auditing e gestione
di incidenti di sicurezza grazie a sofisticati e flessibili browser dedicati.
Un esempio è riportato nella figura che segue:
Scheduler e infrastruttura per operazioni massive e gestioni di grandi
installazioni
Il sistema presenta anche una serie di funzionalità pensate per la gestione di
una base installata ampia e distribuita geograficamente.
Attività quali Backup di Management, recupero informazioni di ambiente su
singoli firewall o gruppi, pubblicazioni o riapplicazioni di policy, remote upgrade
(con trasferimento upgrade separato da applicazioni) possono essere
pianificate ed eseguite, con controllo e gestione di situazioni di errore, sia su
singoli engine che su gruppi di engine.
L’effetto nel complesso è di una drastica riduzione del costo di amministrazione,
delle risorse e del tempo necessario a compiere tali operazioni al crescere della
dimensione e della complessità della configurazione.
Pag. 20 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
Monitoring Client
Componenti licenziati a parte, pensati per la presentazione distribuita di log e allarmi,
sono Monitoring Server e Monitoring Client.
Si tratta di un sistema software che permette, grazie ad una GUI “leggera”, la
visualizzazione di log rilevanti per un dato “profilo” di utenza.
Il campo di impiego è notevole:
dall’azienda che vuole dare visibilità ai dipartimenti solo dei propri log, a strutture che
fanno della Sicurezza Gestita il proprio “core business”, e società di servizi che
gestiscono la sicurezza in outsourcing di propri Clienti, volendo comunque dare a questi
ultimi visibilità del traffico tracciato dal sistema StoneGate Firewall/VPN/IPS.
Lo schema operativo è il seguente:
Monitoring Server può essere installato sulla stessa macchina utilizzata per
Management o Log Server oppure su una macchina dedicata a tale funzione, Monitoring
Server agisce da communication server tra Management/Log Servers e i Monitoring
Client.
Monitoring Client, componente scaricabile da Web Server, si college al Monitoring
Server fornendo credenziali che vengono autenticate e controllate in comunicazione con
il Management Server (username/password oppure tramite autenticazione RADIUS).
Il filtro dei Log da visualizzare viene effettuato sul Monitoring Server in base al profile di
connessione.
I log visualizzabili sono sia quelli in tempo reale che lo storico, con possibilità di
applicare filtri di visualizzazione temporanei.
Completa il quadro un sistema di Remote Upgrade, che permette l’aggiornamento di un
cluster StoneGate da remoto senza necessità alcuna di presidio locale, grazie ad un
controllo di condizioni di errore completo ed efficiente con funzionalità di rollback
trasparente.
StoneGate Management Center permette anche la configurazione automatica sia
dell’aggiornamento dinamico degli elementi di configurazione che delle nuove versioni di
engine (IPS e Firewall) per effettuare il remote upgrade, lasciando agli amministratori il
completo controllo del grado di automazione nella manutenzione dell’intero sistema.
Tutte le licenze sono gestite centralmente da StoneGate tramite License Manager, con
la possibilità di effettuare l’assegnazione sia per IP che per StoneGate Management
Server. Il License Manager consente anche il controllo dello stato del contratto di
Maintenance and Support e relativa scadenza.
Il sistema è concepito per abbattere drasticamente due dei costi nascosti più importanti:
Total Cost of Ownership e Total Cost of Administration della soluzione.
Log-
server
Service Provider
FW/Cluster 2
Management-
server
Monitoring
Server
FW/Cluster 3 FW/Cluster 4
Customer 2
ClientClient
Client
Log-
server
Admin
Client
Customer 3
ClientClient
Client
Customer 4
ClientClient
ClientFW/Cluster 1
Customer 1
ClientClient
Client
Log Log Log
Log
Auth
Log LogMonitoring
Server
Log
Log Log
Log
Log-
server
Log-
server
Log-
server
Service Provider
FW/Cluster 2FW/Cluster 2
Management-
server
Management-
server
Monitoring
Server
Monitoring
Server
FW/Cluster 3FW/Cluster 3 FW/Cluster 4FW/Cluster 4
Customer 2
ClientClient
Client
Customer 2
ClientClientClientClient
ClientClient
Log-
server
Log-
server
Log-
server
Admin
Client
Admin
Client
Customer 3
ClientClient
Client
Customer 3
ClientClientClientClient
ClientClient
Customer 4
ClientClient
Client
Customer 4
ClientClientClientClient
ClientClientFW/Cluster 1
Customer 1
ClientClient
ClientFW/Cluster 1FW/Cluster 1
Customer 1
ClientClientClientClient
ClientClient
Log Log Log
Log
Auth
Log LogMonitoring
Server
Monitoring
Server
Log
Log Log
Log
Novità 4.0
Pag. 21 di 21
Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it
CAPITOLO 3 – CERTIFICAZIONI
StoneGate vanta alcune tra le più prestigiose certificazioni indipendenti del mercato,
quali:
Common Criteria EAL4+ per Firewall, VPN e HA
ICSA Labs
VPN Consortium (http://www.vpnc.org) base and advanced interoperability
NIST FIPS 140-2
CheckMark con certificazione Firewall Level 1, Firewall Level 2 e VPN
Recommended