STONEGATESolución integral de seguridad

Maria.campos@stonesoft.com

PROBLEMÁTICA DE LAS UNIVERSIDADES EN SEGURIDAD

Infraestructura (II)

Núcleo de la red Conmutado y con

routing Fibra óptica Análisis de tráfico: nivel

7 y monitorización Loging a red, balanceo

de carga, proxy… Arquitectura de red

DMZ Cortafuegos Proxy

Direccionamiento privado ?

Mayor inteligencia en la red

¿Application Switch?

Servicios (II)

• Servicios corporativos

– Aplicaciones gestión– Servicios

personalizados

• Servicios de proveedores– Revistas electrónicas– Bases de datos on line

• Servicios públicos– Web– FTP…

• SSL / SSH / IPSec• LDAP • PKI• VPN• Aceleradores

Puesto de trabajo

• Comunidad Universitaria– Accede a todos los tipos de

servicio

• Comunidades de interés– Grupos de investigadores

que acceden a recursos de otros grupos

• Empresas colaboradoras– Mantenimiento y gestión de

aplicaciones

• SSL / SSH / IPSec• LDAP • PKI• VPN

¿Cómo puede Stonesoft dar respuesta a las necesidades de seguridad en el entorno

universitario?

Internet

Internal network

Múltiples ISP’s

HA

HA

HA

RedundantMulti-ISP hw solution Redundant

Multi-ISPinbound LBhw solution

RedundantInbound LBhw solution Additional

HA software solution

DMZServer

Managementserver

Solución INTEGRADA y GLOBAL de seguridad

Aproximación tradicional: Diseño

Tradicional = varios niveles SO, necesita securización,

patches, mantenimiento Firewall, necesita

configuración,mantenimiento

HA necesita configuración,mantenimiento

High Availability

Software

Firewall

Software

Operating

system

Software Appliance

• Firewall

• VPN

• Load balancing

•Clustering and HA

• Multi-Link Tech.

• Operating system

Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta disponibilidad de las redesdisponibilidad de las redesEl primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples El primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples ISP’sISP’s

Firewall de Alta DisponibilidadFirewall de Alta Disponibilidad

PRINCIPIOS DE DISEÑOPRINCIPIOS DE DISEÑO

Sistema operativo cerrado y securizado Sistema operativo cerrado y securizado basado en basado en Linux:Linux:Seguridad garantizada + incremento del rendimientoSeguridad garantizada + incremento del rendimientoHardware estándar Hardware estándar Soporte proporcionado por StoneSoftSoporte proporcionado por StoneSoft

Throughput Throughput y y performanceperformance para atender grandes volúmenes de tráfico (multi-para atender grandes volúmenes de tráfico (multi-threadthread))

Seguridad máximaMulti-Layer Inspection

Un paso más allá del Stateful Inspection

Seguridad a nivel de aplicación

Flexible de gestionar Transparente

Clustering StoneGate™

Internet

Node 1

CVI 0

CVI 1

NDI A,1

Interfaces on NIC ID0

Interfaces on NIC ID1

NDI C,1NDI B,1 NDI D,1

NDI A,0 NDI B,0 NDI C,0 NDI D,0

Node 2

Node 3

Node 4

CVI: Cluster Virtual Interface

NDI: Node Dedicated Interface

Inter-node communicationsTraffic on CVIs

Traffic on NDIs

Localnetwork

Tecnología Multi-Link: Tecnología Multi-Link: Acceso inininterrumpido a Acceso inininterrumpido a

la redla red Múltiples conexiones con ISPs StoneGate proporciona fail-over y

balanceo de carga Tres formas de operación:

Tráfico saliente Tráfico entrante Túneles VPN

InternetLAN

ISP A

ISP B

ISP C

Multi-Link: Balanceo saliente de ISPs

Localnetwork

Internet

NetLink 1

NetLink 3

NetLink 2Firewallcluster

Source host

Destinationhost

Step 2: FW sends SYNpackets through all available

ISP and measures RTT

Step 3: FW selects fastestroute and connection isopened between hosts

Step 1: Connectionrequest to destination host

on the Internet

Tecnología Multi-Link: Tecnología Multi-Link: Túneles VPNTúneles VPN

Internet

LAN

ISP A ISP B ISP C

LAN

ISP XISP Y

Multi-Link monitoriza el estado y performance de todos los subtúneles

Si un subtunel falla, el tráfico será failed over a los otros subtúneles

A mejor performance en un subtunel, mayor tráfico tendrá asignado

Multi-Link VPN crea subtúneles utilizando cada camino posible

¿Qué ganamos con Multi-Link? Performance

Arquitectura

GUI client GUI clientGUI client

SSL

Engine 2Engine 1 Engine 3

Firewall cluster

. . . Engine 16

Database

Management-

serverDatabase

2Log-

server1

n

Management system

SSL

Arquitectura StoneGate Un Ejemplo

Internet

Atlanta LAN

San Francisco LAN

Frankfurt LAN

Management

server

Log server

Log server

GUI client

GUI client GUI

client

Flexibilidad de Gestión

Management GUI Screenshot

StoneGate’s Flexible Management System reduce los errores de operador y administrativos

Management totalmente centralizadoS.O. gestionado desde la GUIRoutingAnti-spoofingProxies ARP automáticosNAT and VPNHerramientas potentes para la política de seguridadLogs almacenados en base de datosMonitorización desde la GUI con estadísticas

Gestión del cluster built-in

Routing, entradas proxy ARP y direcciones IP se configuran una sola vez para el cluster

Gestión del routing flexible

Configuración de rutas

Gestión automática delAnti-spoofing

Reglas de anti-spoofing generadas automáticamente

Entradas proxy ARP automáticas

Entradas proxy ARP se crean automáticamente (por ejemplo con reglas de NAT)

Gestión de VPNs flexible

Definición única en la regla base

Gestión de la política de seguridad con

herramientas potentes y flexibles Plantillas regla base y

herencia

Logs almacenados en una base de datos

Facilidad de filtrado y búsqueda Exportación a archivos Generación de alertas

Immediate discard / no log

entry

Discard before storing / transient

entry

Discard after archiving (only if huge volumes)

Database

Log browser

Archivefiles

Log data not wanted

Log data for occasional

observation

Log data for archiving

Log data for observation for a

suitable time after created

Monitorización desde la GUI

Estadísticas continuas sobre firewalls en la GUI

Precio/Performance de los líderes de mercado

Nokia IP740 1,75 Gbps 1,000,000 concurrent

connections AES256 - 90 Mbps VPN

throughput - 1,7 GHz Xeon 154 Mbps 3DES

throughput with hw acceleration

10,000 concurrent VPN tunnels

Price without CP software USD 55,000

StoneGate with standard hardware 1,35 Gbps throughput 1,000,000 concurrent

connections AES256 - 165 Mbps VPN

throughput with one node (2 CPUs a 700 MHz)

10,000 concurrent VPN tunnels (memory specific)

Price of hardware without StoneGate software USD 4,000

Nuevas funcionalidades en StoneGate 2.0

VLAN tagging (802.1q) IP routing multicast estático Soporte de la familia de protocolos

H.323 Actualizaciones de firewalls remotos Auditing Log archive browsing Topología VPN hub (star) IP dinamicas para VPN GW externos

Algunas Referencias

C O L T

April 2002 Edition

”Best Prefered VPN” September 2002

SoftWare Appliance Approachs

StoneGate convierte cualquier servidor intel o SPARC en un ”appliance” de seguridad Alto rendimiento Alta seguridad (SO propio

integrado) Gran Escalibilidad (multi-CPU)

Algunas plataformas SUN e Intel...

StoneGate Appliance Product Family

Main office gateway

Branch office gateway

Remote office gateway

Small office gateway

Mobile User

Large Enterprise

Large Enterprise Management solution

SME Management solution

Medium Enterprise

Small Enterprise

SOHO

StoneGate - Todo en uno

Soluciones de varios fabricantes:

- riesgo técnico alto

- coste más elevado debido a varias tecnologías, acuerdos de soporte & mantenimiento

StoneGate 3.0

Target release: 2H 2003 New features

built-in network diagram editor advanced server load balancing protocol agent API bandwidth management SIP protocol agent new alert notification server