Stonesoft StoneGate - ... parte integrante e fondamento della Stonesoft StoneGate Security Platform

  • View
    0

  • Download
    0

Embed Size (px)

Text of Stonesoft StoneGate - ... parte integrante e fondamento della Stonesoft StoneGate Security Platform

  • Stonesoft StoneGate Panoramica sulla tecnologia

    Marco Rottigni 5/29/2007

  • Pag. 2 di 21

    Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it

    Sommario

    Capitolo 1 – Introduzione ____________________________________________________________________ 3

    Capitolo 2 – Elementi Architetturali Differenzianti ________________________________________________ 4 StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. ______ 4 StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva. ______________________________ 12 Il sistema di gestione Stonegate Management Center _________________________________________ 14

    Capitolo 3 – Certificazioni ___________________________________________________________________ 21

    DOCUMENTO AGGIORNATO ALLE VERSIONI:

    StoneGate Management Center: 4.0

    StoneGate Firewall/VPN: 3.0

    StoneGate IPS: 4.0

  • Pag. 3 di 21

    Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it

    CAPITOLO 1 – INTRODUZIONE

    Questo documento riporta una panoramica su caratteristiche peculiari della piattaforma

    StoneGate per la sicurezza logica.

    L’idea è di fornire una base informativa per meglio definire offerte tecnologiche e

    specifiche di progetto.

    Le informazioni sono declinate come funzionalità singole della tecnologia StoneGate,

    parte integrante e fondamento della Stonesoft StoneGate Security Platform.

    StoneGate Firewall, VPN e IPS, con il relativo StoneGate Management Center

    costituisce la Stonesoft Network Security Platform, schematizzata di seguito:

    Tale architettura rappresenta la visione d’insieme della tecnologia Stonesoft per la

    sicurezza logica e la business continuity e vede la soluzione StoneGate “declinata” in tre

    tipi di funzionalità operative:

     Concentratore VPN

     Firewall, con funzionalità di VPN

     IPS, con funzionalità di detection precisa, risposta proattiva a supporto

    dell’Incident Management e correlazione intelligente di eventi.

    Le tre funzioni (con la sola eccezione della VPN, presente anche su Firewall) non sono

    combinabili in un’unica macchina, ma sono implementabili in diversi punti della rete data

    l’elevata specializzazione di ogni componente, sia questo proposto come Software

    Appliance (StoneGate da installare su un server Intel general purpose senza sistema

    operativo – es. http://www.stonesoft.com/en/products_and_solutions/

    supported_platforms/intel_servers/) o come Appliance

    (http://www.stonesoft.com/en/products_and_solutions/

    supported_platforms/fw_vpn_appliances/).

    http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/ http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/ http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/ http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/

  • Pag. 4 di 21

    Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it

    CAPITOLO 2 – ELEMENTI ARCHITETTURALI DIFFERENZIANTI

    La tecnologia StoneGate presenta molteplici elementi innovativi e differenzianti, di cui

    questa sezione fornisce una panoramica di massima.

    StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico.

    Funzione principe del modulo StoneGate Firewall e VPN è la realizzazione di sistemi di

    protezione perimetrale logica (firewalling) con possibilità di agire da concentratore di

    tunnel cifrati VPN.

    È altresì possibile implementare StoneGate come puro concentratore di tunnel VPN

    senza funzioni di discriminazione del traffico e firewalling.

    Gestione completamente centralizzata di interfacce, routing e antispoofing.

    Spesso le soluzioni di firewalling software presentano carichi di gestione “nascosti”, quali

    ad esempio l’impossibilità di configurare da interfaccia grafica elementi quali indirizzi

    MAC e IP di interfaccia oppure instradamenti ed anti-spoofing.

    Grazie all’interazione tra nodo firewall e centro di gestione StoneGate Management

    Center, diventa possibile gestire in modo grafico, semplificato e con controllo di errore

    tutti questi parametri in modo centralizzato, inviandoli successivamente al nodo con

    l’operazione di pubblicazione della configurazione.

    A valle di una pubblicazione di successo, il nodo tenta di raggiungere il sistema di

    Management con le nuove informazioni di routing e, in caso di impossibilità, esegue il

    “roll-back” all’ultima configurazione corretta.

    Questo accorgimento evita di rendere un firewall o firewall cluster irrangiungibile a causa

    di errori di configurazione umani.

    Controllo approfondito a livello IP e TCP

    Caratteristica “genetica” di StoneGate Firewall e VPN è il controllo del pacchetto IP sia

    per la coerenza delle opzioni di protocollo che per checksum.

    Per quanto riguarda il protocollo TCP, StoneGate verifica sia un controllo di handshake

    sulle regole ove prevista stateful inspection sia un controllo dei flag TCP pertinenti ad

    ogni stato del protocollo.

    È prevista anche la gestione della frammentazione di pacchetto, così come servizi

    generici per tipi di protocolli IP diversi da UDP, TCP, ecc.

    Scalabilità networking e processing verticale

    StoneGate, oltre alla scalabilità orizzontale offerta dal clustering con load balancing

    dinamico, offre una interessante scalabilità orizzontale grazie a:

     Supporto SMP, che permette l’utilizzo efficiente di risorse di processing su

    macchine multiprocessore

     Gestione fino a 254 interfacce di rete fisiche

     Gestione VLAN Tagging 802.1q con definizione fino a 4094 VLAN per

    interfaccia fisica

     Supporto multicast IP static routing e policy routing

     Gestione proxy e static ARP da GUI centralizzata senza necessità di operare su

    nodo firewall

  • Pag. 5 di 21

    Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: info.italy@stonesoft.com – Web: http://www.stonesoft.it

    Supporto IP Dinamico e DHCP Relay

    StoneGate supporta IP dinamico su interfaccia di controllo e come VPN endpoint su

    firewall singolo. L’indirizzo IP dinamico può essere non ruotabile ed è utilizzabile in

    combinazione con la tecnologia Multi-Link ® .

    La funzionalità di DHCP Relay, inoltre, permette il forwarding su tunnel VPN o in chiaro

    di richieste DHCP provenienti da client di una delle reti protette verso un server DHCP.

    Caratteristiche del cluster di firewall

    StoneGate include un sistema di clustering di tipo “active-active”, caratterizzato da

    elevata scalabilità fino a 16 nodi per cluster logico con failover di sessione trasparente in

    caso di guasto del nodo gerente una data sessione.

    Il cluster si presenta in rete come Network Single System Image, cioè in completa

    trasparenza a livello 2 e 3 del modello di riferimento ISO/OSI con una modalità operativa

    esclusiva di Stonesoft e chiamata Drop-In Firewall Clustering, senza impatto su

    dispositivi di switching e routing circostanti il firewall cluster.

    Ulteriori dettagli su questa modalità sono disponibili all’indirizzo

    http://www.stonesoft.com/en/products_and_solutions/features/gateway_clustering/

    La scalabilità elevata presenta particolare interesse nelle funzionalità VPN in quanto si

    traduce in aggregazione di throughput, grazie alle caratteristiche di load balancing che

    sfruttano la potenza computazionale delle singole macchine componenti il cluster in

    modo aggregato.

    Gestione di più link ad Internet in modalità aggregata con StoneGate Multi-Link®

    StoneGate include la tecnologia Multi-Link ® per la gestione di più link a Internet in

    modalità aggregata.

    Per ogni connessione, StoneGate seleziona automaticamente il link più performante in

    base alla destinazione da raggiungere.

    Brevettato in tutto il mondo da Stonesoft, il sistema mantiene la massima trasparenza in

    rete grazie alla metodologia utilizzata, basata su tecniche di NAT.

    Ulteriori informazioni su StoneGate Multi-Link sono disponibili all’indirizzo

    http://www.stonesoft.com/en/products_and_solutions/features/isp_multi-homing/

    Bandwidth Management e QoS

    StoneGate Firewall include un’infrastruttura tecnologica per gestire sia garanzie che

    limitazioni di banda e Quality of Service secondo gli standard.

    Grazie ad un’elevata granularità di configu