Stonesoft StoneGate - VIVIDOvivido.it/wp-content/uploads/2008/06/stonesoft_stonegate...parte integrante e fondamento della Stonesoft StoneGate Security Platform. StoneGate Firewall,

Stonesoft StoneGate Panoramica sulla tecnologia

Marco Rottigni 5/29/2007

Pag. 2 di 21

Stonesoft Italia Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721 Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: [email protected] – Web: http://www.stonesoft.it

Sommario

Capitolo 1 – Introduzione ____________________________________________________________________ 3

Capitolo 2 – Elementi Architetturali Differenzianti ________________________________________________ 4 StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. ______ 4 StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva. ______________________________ 12 Il sistema di gestione Stonegate Management Center _________________________________________ 14

Capitolo 3 – Certificazioni ___________________________________________________________________ 21

DOCUMENTO AGGIORNATO ALLE VERSIONI:

StoneGate Management Center: 4.0

StoneGate Firewall/VPN: 3.0

StoneGate IPS: 4.0

Pag. 3 di 21


CAPITOLO 1 – INTRODUZIONE

Questo documento riporta una panoramica su caratteristiche peculiari della piattaforma

StoneGate per la sicurezza logica.

L’idea è di fornire una base informativa per meglio definire offerte tecnologiche e

specifiche di progetto.

Le informazioni sono declinate come funzionalità singole della tecnologia StoneGate,

parte integrante e fondamento della Stonesoft StoneGate Security Platform.

StoneGate Firewall, VPN e IPS, con il relativo StoneGate Management Center

costituisce la Stonesoft Network Security Platform, schematizzata di seguito:

Tale architettura rappresenta la visione d’insieme della tecnologia Stonesoft per la

sicurezza logica e la business continuity e vede la soluzione StoneGate “declinata” in tre

tipi di funzionalità operative:

Concentratore VPN

Firewall, con funzionalità di VPN

IPS, con funzionalità di detection precisa, risposta proattiva a supporto

dell’Incident Management e correlazione intelligente di eventi.

Le tre funzioni (con la sola eccezione della VPN, presente anche su Firewall) non sono

combinabili in un’unica macchina, ma sono implementabili in diversi punti della rete data

l’elevata specializzazione di ogni componente, sia questo proposto come Software

Appliance (StoneGate da installare su un server Intel general purpose senza sistema

operativo – es. http://www.stonesoft.com/en/products_and_solutions/

supported_platforms/intel_servers/) o come Appliance

(http://www.stonesoft.com/en/products_and_solutions/

supported_platforms/fw_vpn_appliances/).

http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/

http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/

http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/

http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/

Pag. 4 di 21


CAPITOLO 2 – ELEMENTI ARCHITETTURALI DIFFERENZIANTI

La tecnologia StoneGate presenta molteplici elementi innovativi e differenzianti, di cui

questa sezione fornisce una panoramica di massima.

StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico.

Funzione principe del modulo StoneGate Firewall e VPN è la realizzazione di sistemi di

protezione perimetrale logica (firewalling) con possibilità di agire da concentratore di

tunnel cifrati VPN.

È altresì possibile implementare StoneGate come puro concentratore di tunnel VPN

senza funzioni di discriminazione del traffico e firewalling.

Gestione completamente centralizzata di interfacce, routing e antispoofing.

Spesso le soluzioni di firewalling software presentano carichi di gestione “nascosti”, quali

ad esempio l’impossibilità di configurare da interfaccia grafica elementi quali indirizzi

MAC e IP di interfaccia oppure instradamenti ed anti-spoofing.

Grazie all’interazione tra nodo firewall e centro di gestione StoneGate Management

Center, diventa possibile gestire in modo grafico, semplificato e con controllo di errore

tutti questi parametri in modo centralizzato, inviandoli successivamente al nodo con

l’operazione di pubblicazione della configurazione.

A valle di una pubblicazione di successo, il nodo tenta di raggiungere il sistema di

Management con le nuove informazioni di routing e, in caso di impossibilità, esegue il

“roll-back” all’ultima configurazione corretta.

Questo accorgimento evita di rendere un firewall o firewall cluster irrangiungibile a causa

di errori di configurazione umani.

Controllo approfondito a livello IP e TCP

Caratteristica “genetica” di StoneGate Firewall e VPN è il controllo del pacchetto IP sia

per la coerenza delle opzioni di protocollo che per checksum.

Per quanto riguarda il protocollo TCP, StoneGate verifica sia un controllo di handshake

sulle regole ove prevista stateful inspection sia un controllo dei flag TCP pertinenti ad

ogni stato del protocollo.

È prevista anche la gestione della frammentazione di pacchetto, così come servizi

generici per tipi di protocolli IP diversi da UDP, TCP, ecc.

Scalabilità networking e processing verticale

StoneGate, oltre alla scalabilità orizzontale offerta dal clustering con load balancing

dinamico, offre una interessante scalabilità orizzontale grazie a:

Supporto SMP, che permette l’utilizzo efficiente di risorse di processing su

macchine multiprocessore

Gestione fino a 254 interfacce di rete fisiche

Gestione VLAN Tagging 802.1q con definizione fino a 4094 VLAN per

interfaccia fisica

Supporto multicast IP static routing e policy routing

Gestione proxy e static ARP da GUI centralizzata senza necessità di operare su

nodo firewall

Pag. 5 di 21


Supporto IP Dinamico e DHCP Relay

StoneGate supporta IP dinamico su interfaccia di controllo e come VPN endpoint su

firewall singolo. L’indirizzo IP dinamico può essere non ruotabile ed è utilizzabile in

combinazione con la tecnologia Multi-Link®.

La funzionalità di DHCP Relay, inoltre, permette il forwarding su tunnel VPN o in chiaro

di richieste DHCP provenienti da client di una delle reti protette verso un server DHCP.

Caratteristiche del cluster di firewall

StoneGate include un sistema di clustering di tipo “active-active”, caratterizzato da

elevata scalabilità fino a 16 nodi per cluster logico con failover di sessione trasparente in

caso di guasto del nodo gerente una data sessione.

Il cluster si presenta in rete come Network Single System Image, cioè in completa

trasparenza a livello 2 e 3 del modello di riferimento ISO/OSI con una modalità operativa

esclusiva di Stonesoft e chiamata Drop-In Firewall Clustering, senza impatto su

dispositivi di switching e routing circostanti il firewall cluster.

Ulteriori dettagli su questa modalità sono disponibili all’indirizzo

http://www.stonesoft.com/en/products_and_solutions/features/gateway_clustering/

La scalabilità elevata presenta particolare interesse nelle funzionalità VPN in quanto si

traduce in aggregazione di throughput, grazie alle caratteristiche di load balancing che

sfruttano la potenza computazionale delle singole macchine componenti il cluster in

modo aggregato.

Gestione di più link ad Internet in modalità aggregata con StoneGate Multi-Link®

StoneGate include la tecnologia Multi-Link® per la gestione di più link a Internet in

modalità aggregata.

Per ogni connessione, StoneGate seleziona automaticamente il link più performante in

base alla destinazione da raggiungere.

Brevettato in tutto il mondo da Stonesoft, il sistema mantiene la massima trasparenza in

rete grazie alla metodologia utilizzata, basata su tecniche di NAT.

Ulteriori informazioni su StoneGate Multi-Link sono disponibili all’indirizzo

http://www.stonesoft.com/en/products_and_solutions/features/isp_multi-homing/

Bandwidth Management e QoS

StoneGate Firewall include un’infrastruttura tecnologica per gestire sia garanzie che

limitazioni di banda e Quality of Service secondo gli standard.

Grazie ad un’elevata granularità di configurazione, è possibile classificare il traffico e

distinguere le classi per priorità (1 – 16), garanzia di banda (bps o %) e/o limite

(bps o %). La classificazione è effettuata nella security policy utilizzando uno dei possibili

campi di corrispondenza quali IP sorgente, destinazione o servizio. La selezione di

classe non è un’azione, per cui la stessa classificazione può permettere traffico o inviarlo

a VPN o impostare situazioni di banda/priorità per un gruppo di regole a seguire.

Una volta classificato il traffico, priorità e garanzie/limiti di banda possono essere

impostati singolarmente per ogni classe in una policy QoS, associabile ad un interfaccia

del firewall per cui la policy viene applicata. Diverse interfacce possono avere la stessa

policy o policy QoS differenti, aumentando ulteriormente la flessibilità di

implementazione, soprattutto se utilizzato con configurazioni MultiLink.

http://www.stonesoft.com/en/products_and_solutions/features/gateway_clustering/

http://www.stonesoft.com/en/products_and_solutions/features/isp_multi-homing/

Pag. 6 di 21


Gestione di Servizi con QoS

In ottica di fornire QoS “end-to-end”, non è sufficiente gestire la banda e la priorità del

traffico a livello StoneGate Firewall, ma diventa necessario “informare l’intera catena di

gestione del traffico” anche in caso di VPN.

StoneGate consente di “marcare” i pacchetti in uscita utilizzando il campo DSCP

(Differentiated Services Codepoint). I valori di tale campo sono definiti opzionalmente

per ogni classe nella policy di QoS, consentendo una marcatura differenziata anche per

interfaccia. Anche in caso di VPN, quindi, il valore del campo DSCP viene copiato dal

pacchetto nell’header IPSec permettendo una gestione ottimale dei flussi.

Se un dispositivo QoS esterno ha già classificato il traffico e la classificazione è leggibile

dal campo DSCP, non c’è necessità di rifare la classificazione a livello di Security Policy

StoneGate, in quanto i valori del campo DSCP possono essere mappati direttamente

alle classi QoS in StoneGate semplicando la gestione.

Multi-Layer Inspection® per firewalling senza compromessi

Altro brevetto internazionale di Stonesoft, il sistema di ispezione del traffico incluso in

StoneGate permette la massima flessibilità nella configurazione dei livelli di ispezione

grazie alla tecnologia dei Protocol Agents.

È l’Amministratore del firewall, quindi, a decidere la granularità (a livello della singola

regola) con cui ispezionare il traffico a livello applicativo, così come la metodologia da

utilizzarsi (packet filter, statefull inspection, controllo applicativo con redirezione a

Content Inspection Server esterno) e timeout di protocollo specifici e necessario.

I Protocol Agent sono utilizzabili per la gestione efficiente di protocolli “complessi” quali

ad esempio Oracle TNS, H.323, NetBIOS, FTP, SSH ecc. sia per quanto riguarda la

presenza di indirizzi IP riportati nel pacchetto dati (es. in caso di NAT) che per quanto

attiene a ispezione di opzioni particolari di protocollo (es. handshake SSH, dimensione

pacchetto dati Oracle, passive/active FTP, ecc.)

Altri Protocol Agents esistono per TCP Proxy, Microsoft Exchange RPC/EPM, TFTP e

SIP in aggiunta alla dozzina già esistente.

Questa evoluzione tecnologica si traduce in tecnologia abilitante, unitamente alle

caratteristiche di Bandwidth Management e QoS descritte più avanti nel documento e a

caratteristiche “storiche” di StoneGate quali MultiLink, per la gestione efficace di una

soluzione di traffico voce su rete IP ad altissima resilienza “end-to-end”.

In particolare, il protocollo SIP viene gestito da tre punti di vista:

apertura dinamica delle porte necessarie alla comunicazione

verifica pattern di conformità del protocollo

gestione e conversione indirizzi NAT a livello di payload

Pag. 7 di 21


Deep Inspection per HTTP e SIP

Inclusa in StoneGate Firewall Engine è la possibilità di ispezionare in profondità già a

livello firewall i protocolli HTTP e SIP. La ragione di questa “concessione” alla purezza di

funzione caratterizzante le soluzioni Stonesoft è l’utilizzo di HTTP e SIP sempre più

frequentemente come “canale preferenziale” per attacchi ai Web Services o per attacchi

di intrusione molto pericolosi.

StoneGate Firewall è in grado, per i soli protocolli HTTP e SIP, di eseguire ispezione

sintattica del protocollo e/o di riconoscere signature con supporto di Regular Expression

e possibilità di personalizzare le signature incluse e la configurazione del controllo

sintattico.

Aggiornamenti delle signature e dei moduli di inspection utilizzano il processo di

Dynamic Update già presente in StoneGate Management Center per StoneGate IPS

descritto più avanti nel documento.

Pag. 8 di 21


Per quanto concerne l’interoperabilità con sistemi di terze parti, l’architettura StoneGate

utilizza meccanismi di comunicazione aperto e standard che ben consentono

l’integrazione efficaci di componenti di sicurezza specializzati quali antivirus, URL

filtering, content inspection, syslog centralizzati, ecc.

Il vantaggio architetturale sta proprio nella virtuale assenza di prerequisiti particolari da

ricercare nel “Content Inspection Server” che si desidera utilizzare, in quanto

quest’ultimo deve:

disporre di un’identità IP

ascoltare su una porta TCP

Data la natura particolarmente standard di questi requisiti, diventa semplice

l’integrazione di StoneGate (grazie ai Protocol Agent) con prodotti CIS per HTTP, SMTP

ed FTP di terze parti, come rappresentato nello schema che segue:

Per dare più consistenza a quanto teorizzato, riporto due link a schemi di

implementazioni con tecnologie di Content Inspection reali:

Interoperabilità tra StoneGate e Trend Micro:

http://www.stonesoft.com/files/support/StoneGate/HowTo/SG_HOWTo_Trend_

CIS_20030728_online.pdf

Interoperabilità tra StoneGate e WebSense:

http://www.stonesoft.com/files/support/db/1201/SG_HWTO_Websense_CIS_20

030728_online.pdf

http://www.stonesoft.com/files/support/StoneGate/HowTo/SG_HOWTo_Trend_CIS_20030728_online.pdf

http://www.stonesoft.com/files/support/StoneGate/HowTo/SG_HOWTo_Trend_CIS_20030728_online.pdf

http://www.stonesoft.com/files/support/db/1201/SG_HWTO_Websense_CIS_20030728_online.pdf

http://www.stonesoft.com/files/support/db/1201/SG_HWTO_Websense_CIS_20030728_online.pdf

Pag. 9 di 21


Rulebase gerarchica con utilizzo di Alias

L’ispezione di traffico in StoneGate avviene tramite l’utilizzo di una rulebase in modalità

gerarchica, che permette di definire “rilanci” a rulebase separate creando così una

struttura ad albero.

Ciò porta un vantaggio gestionale grazie all’utilizzo di rulebase “secondarie” richiamabili

da più rulebase “principali” (ad es. “rulebase per HTTP” o “rulebase per traffico DMZ”).

Le rulebase principali restano così compatte e definite per macro-regole, con

conseguente minor tempo di attraversamento e miglioramento prestazionale.

Ulteriore aspetto differenziante di StoneGate è la possibilità di utilizzare Alias nella

definizione delle regole di discriminazione traffico e NAT.

Questa tecnica permette di concettualizzare gli elementi che compongono le regole

(es. $WebServer, $_Rete_Interna), costruendo policy che assumono significato locale in

base al firewall su cui vengono pubblicate.

Ad esempio, $WebServer potrebbe valere 10.10.10.10 per il firewall A e 192.168.10.10

per il firewall B.

L’effetto è di consentire una migliore gestione di regole con drastico abbattimento dei

Total Cost of Administration (TCA).

Gestione NAT

Configurato e manutenuto in modo consitente e semplice grazie all’interfaccia grafica, il

supporto di Network Address Translation in StoneGate è flessibile e completo.

Include Network e Port Address Translation, statico e dinamico, con possibilità di gestire

NAT di sorgente e destinazione simultaneo con configurazione automatica di proxy ARP

relativi.

Autenticazione

StoneGate supporta sistemi di autenticazione basati su identificativo utente e password

con database utenti interno o esterno con sistema LDAP standard e protocolli ldap e

ldaps.

Sono gestiti sistemi di autenticazione di backend basati su protocolli Radius e Tacacs+.

StoneGate è certificato “RSA SecureID ready” e “RSA Keon ready”

VLAN Tagging

StoneGate supporta il protocollo 802.1Q per la definizione di più VLAN sulla stessa

interfaccia fisica di rete grazie alla tecnica definita tagging.

Il limite è di 4094 tag per interfaccia fisica.

Dynamic BlackListing

Permette all’amministratore del sistema di intervenire tramite GUI per effettuare azioni di

blocco o quarantena a tempo di connessioni istantaneo su firewall.

Utile per reagire di fronte a emergenze senza tempi (necessariamente più lunghi) di

modifica e installazione di policy.

La funzionalità di Dinamic BlackList è completamente interoperabile con StoneGate IPS

come descritto più avanti nel documento.

Pag. 10 di 21


StoneGate come Traffic Load Balancer: la tecnologia Multi-Link

Tra le interessanti funzionalità incluse in StoneGate è la possibilità di bilanciare il traffico

tra più sistemi di connettività (sia semplici tipo router, sia “complessi” tipo HSRP, VRRP

o BGP) sia in uscita che in entrata, interoperando se desiderato con un sistema DDNS

affinchè i servizi esposti per bilanciamento in entrata vengano aggiornati a livello DNS in

base alla reale disponibilità.

Per quanto concerne il traffico in uscita, il sistema effettua una misurazione costante e

dinamica del RTT (Round Trip Time) in base alla destinazione da raggiungere,

instradando di conseguenza la connessione sul link empiricamente più performante.

Terzo scenario operativo della tecnologia MultiLink, combinabile a piacere con i primi

due (inbound e outbound traffic load balancing) riguarda il bilanciamento di sessioni in

ingresso verso un pool di server.

StoneGate rileva la disponibilità dei singoli server in un gruppo definito sia in base a

probing ICMP sia tramite agenti “application-agnostic” da installare sui diversi server e

inclusi in StoneGate, permettendo un bilanciamento delle sessioni con diversa

granularità (classe IP chiamante, singolo IP, singola sessione) e garantendo persistenza

di sessione salvo indisponibilità del server destinatario.

VPN

StoneGate implementa un sistema VPN IPSec, la cui interoperabilità è garantita da

certificazioni “super partes” quali VPN Consortium (http://www.vpnc.org) a livelli base ed

avanzati.

Supporta i seguenti algoritmi di sicurezza logica:

Cifratura

o AES-128

o AES-256

o DES

o 3DES

o Blowfish

o Twofish

o Cast-128

Message Digest

o MD5

o SHA-1

Gruppi Diffie-Helmann

o 1, 2, 5

Consente l’utilizzo di pre-shared keys, così come di certificati digitali X.509 con

possibilità di utilizzare CA esterne con relative CRL.

VPN e Multi-Link®

Grazie alla combinazione di VPN con l’innovativa tecnologia Multi-Link®, StoneGate

permette la gestione efficiente di più connessioni geografiche di tipo IP, siano esse

permanenti (ISP, linee dedicate) o dial-up, eseguendo load balancing a livello di

pacchetto.

Grazie ad un metodo indipendente dalla classe IP utilizzata su un dato link, è possibile

configurare le connessioni geografiche affichè siano permanentemente utilizzate nel

load balancing (active-active) o solo se i link primari non siano disponibili (stand-by).

Ciò permette di realizzare VPN ad elevatissima disponibilità e con un eccellente grado di

sicurezza grazie agli algoritmi di cifratura ed all’instradamento su più link (e su più reti)

dei pacchetti.

http://www.vpnc.org/

Pag. 11 di 21


Lo schema che segue riporta una situazione di esempio:

Client Security

Realizzata tramite l’applicativo VPN Client, incluso in StoneGate per utenze illimitate,

permette l’estensione della sicurezza logica a livello desktop per l’utilizzo locale in

azienda o “mobile”.

Alcune tra le caratteristiche più interessanti sono:

front-end per autenticazione

client VPN, con supporto per autenticazione ibrida o certificate-based con

utilizzo di smart card e token USB

funzioni di personal firewalling, grazie ad un Active Packet Filter con sensibilità

per location. Questo sistema avanzato implementa automaticamente una

strategia di packet filtering a seconda della classe IP su cui si trova l’utente

application control, che consente l’identificazione ed il controllo dell’attività

applicativa sul desktop utente (es. autorizzazione istanza di una applicazione).

supporto di Windows Domain Logon su VPN

supporto di Virtual IP adapter per utilizzo ad es. in scenari VoIP

possibilità di utilizzare VPN Client in modalità Multi-Link con failover trasparente

di connessioni

VPN Client include una funzione che permette il download automatico della nuova

topologia VPN in caso sia variata dall’ultimo utilizzo.

LANLAN

InternetInternet

LANLAN

ISP A ISP B ISP C

ISP X ISP Y

Leased line

Pag. 12 di 21


StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva.

StoneGate IPS è un sistema basato su due entità logiche, Sensor e Analyzer, mirato a

rilevare intrusioni e tentativi di attacco informatici secondo il principio della gestione

dell’incidente tramite informazioni di log e risposte attive quali ad esempio TCP Reset

della connessione incriminata.

Obbiettivo principe della soluzione è la minimizzazione di una serie di eventi catalogati

come falsi positivi e falsi negativi tramite i seguenti criteri:

Metodi di inspection multipli:

o Fingerprinting con supporto di Regular Expression

o Validazione protocollo

o Controllo anomalie protocollo con istanze multiple

Correlazione eventi nel tempo (sequenze) e nello spazio (gruppi)

Controllo tecniche di IDS evasion con considerazione delle connessioni e non

dei soli pacchetti

In seguito a un rilevamento, il sistema ha diversi metodi di risposta, quali:

Log

Alert, con escalation progressiva e rule-based

Record connection per analisi forense

IP Blacklist (vedi descrizione più avanti nel capitolo)

TCP Reset

Drop (modalità inline, prevista in StoneGate IPS 2.0)

La soluzione è basata sull’interazione di due componenti logici lato “engine”:

uno o più IPS Sensor che riportano a un Analyzer, il quale può a sua volta riportare a

successivi analyzer prima di inviare le informazioni correlate allo StoneGate

Management Center.

Di seguito riporto uno schema funzionale della logica espressa.

Le tecniche di implementazione dei sensori possono essere tramite Span Port o Network

Wire Tap, con possibilità di aggregazione di Sensori per aumentare il throughput della

funzione di capturing.

Pag. 13 di 21


StoneGate IPS supporta anche la modalità “inline” di deployment; lo scenario possibile

prevede un implementazione di StoneGate IPS Sensor (o Combo se l’appliance include

anche StoneGate IPS Analyzer) in transparent mode ad interrompere fisicamente due

segmenti di rete.

A fronte di una detection di successo, l’azione intrapresa può essere attiva

nell’interrompere (silenziosamente o meno) la connessione.

A seconda dell’appliance hardware il sistema può supportare scenari di tipo “fail-open”

che garantiscano il flusso di traffico anche con IPS offline o disabilitato grazie a schede

con continuità metallica.

É infine disponibile la modalità di simulazione per verificare le azioni di drop senza effetti

sul traffico, che quindi non viene bloccato in nessun caso in quanto l’eventuale azione di

blocco occorsa viene soltanto inviata a log per informazione dell’Amministratore.

Il sistema viene aggiornato nei suoi componenti (moduli di ispezione protocollo,

fingerprint, system policy, ecc.) tramite download ed importazione cifrato di Dynamic

Update Packages dal sito Stonesoft (operazione completamente automatizzabile).

Interazione con IP Blacklist tra StoneGate IPS e StoneGate Firewall

Grazie all’elevata interoperabilità dei componenti la StoneGate Network Security

Platform, è possibile un’interazione tra StoneGate Firewall ed IPS per massimizzare la

risposta attiva automatizzando la funzionalità di BlackListing; ciò permette a StoneGate

IPS Analyzer di popolare, a fronte di un attacco rilevato da sonde StoneGate IPS

Sensor, una blacklist dinamicamente considerata da una o più interfacce di uno o più

StoneGate Firewall per bloccare temporaneamente o definitivamente fino a diversa

istruzione il traffico considerato illecito.

Esiste la possibilità, comunque, di generare “WhiteList” che, avendo priorità sulle

BlackList, impediscono che elementi legittimi ed importanti vengano inseriti nella

BlackList (per esempio per errore di configurazione).

Richieste di blacklist, provenienti da altri StoneGate Sensor possono essere gestite in

totale autonomia da StoneGate Sensor senza l’ausilio di StoneGate Firewall Engine.

StoneGate IPS include anche una sofisticata protezione da attacchi di flood tipo:

• Rate-based DoS

• SYN flood protection

• UDP flood protection

• Non rate based DoS

• Attacchi DoS basati su “Illegal input”:

Bonk, Jolt, Land, Nestea, Newtear, Syndrop, Teardrop

In caso di attacco di tipo SYN Flood, StoneGate IPS implementa una reazione

“proxy-like” che aumenta il livello di protezione dei server nei segmenti interni.

StoneGate IPS Sensor è in grado di rilevare con estrema efficacia azioni di

portscanning, anche quando perpetrate con modalità “slow-scan”.

Un’altra funzionalità, importante dal punto di vista dell’analisi e del TCA, permette di

verificare istantaneamente come un evento di interesse (log, allarme) che appare sul

Log Browser per StoneGate IPS venga visto dal punto di vista di StoneGate Firewall.

Novità 4.0

Novità 4.0

Pag. 14 di 21


Il sistema di gestione Stonegate Management Center

StoneGate viene gestito tramite un sistema centralizzato che svolge funzioni di

Management, Log e allarmistica.

StoneGate Management Center, licenziato per numero di cluster gestiti, è scalabile,

multipiattaforma e consente un controllo completo di tutte le funzioni di Firewall, VPN e

IPS.

Una GUI rende l’amministrazione del firewall cluster accessibile in modo distribuito e con

più livelli di accesso, permettendo l’autenticazione dei profili di Administrator anche

tramite sistemi RADIUS esterni.

La gestione dei permessi di amministrazione

permette un’estrema granularità tramite un

controllo a matrice basato su diversi profili, i

quali possono operare su firewall e su policy su

cui abbiano a loro volta i diritti.

Un esempio della definizione del ruolo di

gestore è raffigurato nell’immagine a lato.

L’assegnazione dei diritti al ruolo di gestore

viene controllata in combinazione con una lista

di accesso alle risorse che determina su quali

elementi il gestore può esercitare i diritti

assegnati come raffigurato di seguito:

L’estrema flessibilità e semplicità d’uso della GUI, navigabile a finestre o a sezioni rende

molto semplice configurare funzionalità quali routing, antispoofing, NAT e regole di

accesso, il tutto tramite un’interfaccia intuitiva e consistente.

Novità 4.0

Pag. 15 di 21


Il sistema di gestione di StoneGate a tre livelli è rappresentato dallo schema seguente:

L’interoperabilità con sistemi esterni del sistema di gestione è garantita da funzioni quali

rilancio anche filtrato dello stream di log a sistemi syslogd centralizzati o esportazione

anche real-time verso formati XML e CSV. Ciò rende possibile l’invio strutturato ed

automatizzabile di dati anche filtrati a sistemi esterni quali Tivoli, Syslog, ecc.

Sia il sistema di Alerting che i nodi sono gestibili tramite SNMP, configurato

dall’interfaccia grafica in modo completo e flessibile.

Sia StoneGate Management Server che Log Server sono clusterizzabili in logica “hot-

standby” per garantire l’alta disponibilità del sistema di gestione.

Diventa quindi possibile definire sistemi secondari sia per StoneGate Management

Server (con o senza replica automatica delle configurazioni) sia Log Server aggiuntivi

che agiscano da canale alternativo a cui inviare i log in caso di indisponibilità del Log

Server Primario.

Novità 4.0

Pag. 16 di 21


Caratteristiche interessanti di StoneGate Management Center sono:

Log Server ad elevate prestazioni con filtro dinamico avanzato e

possibilità di redirezione traffico di Log a syslogd centralizzato

Sistema realtime di monitoraggio di Firewall, IPS, gruppi e VPN che consente di

visualizzare un grafico degli elementi statistici (carico, pacchetti per interfaccia,

connessioni scartate per sorgente, ecc.) per cui si desidera attivare il

monitoraggio.

Il sistema permette anche di avere una visione in tempo reale dello stato della

minaccia grazie alla visione di sintesi degli allarmi attivi.

Un esempio nella schermata che segue:

Grazie allo strumento Log Data Manager è possibile gestire dimensioni e tipo

dei log in linea ed in archivi secondari per mantenere log e allarmi a livelli fruibili

rapidamente.

Operazioni quali rotazione dei log secondo criteri temporali relativi e assoluti,

esportazione in formati aperti, redirezione a syslogd esterno, cancellazione o

archiviazione selettiva sono pianificabili ed automatizzabili con estrema

efficacia.

I log sono memorizzati in formato compresso per minimizzare lo spazio

occupato massimizzando le prestazioni del Log Server sia nella visualizzazione

che nelle interrogazioni degli archivi storici.

Novità 4.0

Pag. 17 di 21


Sistema di Reporting Integrato completamente personalizzabile con

possibilità di automazione dei task, comparazione di tendenza ed

esportazione dei report in formato tabellare testuale o PDF.

Con l’evoluzione di StoneGate Management Center il Reporting Manager si

arricchisce di nuovi elementi di aggregazione dei dati, importanti per generare

report di tipo statistico.

È anche disponibile una funzione per inviare i report in PDF direttamente via e-

mail come attachment.

Esempio di un report con layout personalizzato.

Visualizzazione grafica della configurazione, grazie al Visual Diagram.

Questa interessante caratteristica consente di creare istantaneamente una

documentazione grafica attiva della configurazione implementata, permettendo

operazioni di esportazione in formati grafici e PDF dello schema.

Ulteriori dettagli su Visual Diagram sono disponibili all’indirizzo

http://www.stonesoft.com/en/products_and_solutions/products/smc/network_lay

out_editor.html

Il Visual Diagram è anche uno strumento di monitoraggio attivo dei componenti

StoneGate dell’architettura di sicurezza logica.

La figura che segue riporta un esempio di schema “attivo” in cui lo stato dei nodi

dei cluster configurati è visualizzato sotto forma di colore di sfondo:

Lo stesso strumento è utilizzabile per effettuare modifiche alla configurazione,

essendo gli elementi visualizzati interattivi e dotati di menù contestuale.

http://www.stonesoft.com/en/products_and_solutions/products/smc/network_layout_editor.html

http://www.stonesoft.com/en/products_and_solutions/products/smc/network_layout_editor.html

Pag. 18 di 21


Unified Data Browser: log, alert e audit in una visione completa ed

interoperabile.

StoneGate Management Center implementa un nuovo e potente visualizzatore

di informazioni, lo Unified Data Browser.

Grazie ad un’interfaccia semplice ma molto flessibile e potente, diventa

possibile visualizzare in un’unica soluzione log, allarmi e messaggi di auditing

per una completa tracciabilità delle azioni degli engine operativi (Firewall, VPN,

IPS) e dell’attività degli amministratori di sistema.

Sono possibili anche operazioni di filtro istantaneo, di correlazione tra log ad es.

di sensori StoneGate IPS con log di StoneGate Firewall, di esportazione dati in

formati aperti (CSV, XML, PDF) e di parzializzazione delle informazioni

visualizzate in logica di massimizzazione della fruibilità delle informazioni.

La schermata che segue riporta il nuovo Unified Data Browser:

Policy Based Incident Manager.

Basato sul nuovo componente Alert Server incluso in StoneGate Management

Center, il sistema permette la gestione di allarmistica (popup, script, trap SNMP,

SMTP e SMS) con escalation progressiva e log esteso secondo canoni di:

o Incident escalation

o Alert brokering

o Gestione del momento dell’allarme con policy basate su ora e giorno

della settimana.

Dettagli sul sistema sono disponibili all’indirizzo

http://www.stonesoft.com/en/products_and_solutions/products/smc/alert_escala

tion.html

http://www.stonesoft.com/en/products_and_solutions/products/smc/alert_escalation.html

http://www.stonesoft.com/en/products_and_solutions/products/smc/alert_escalation.html

Pag. 19 di 21


Incident Case Management

StoneGate Management Center include un’infrastruttura tecnologica per la

gestione e la tracciabilità degli Incident Case.

Enorme supporto all’Incident Process Management aziendale, l’Incident Case

Management incluso in SMC permette il coordinamento di tutte le informazioni

relative ad un dato evento di sicurezza così come la gestione degli elementi

interessati dall’evento e la completa tracciabilità delle azioni effettuate,

garantendo aderenza alle più stringenti norme in materia di auditing e gestione

di incidenti di sicurezza grazie a sofisticati e flessibili browser dedicati.

Un esempio è riportato nella figura che segue:

Scheduler e infrastruttura per operazioni massive e gestioni di grandi

installazioni

Il sistema presenta anche una serie di funzionalità pensate per la gestione di

una base installata ampia e distribuita geograficamente.

Attività quali Backup di Management, recupero informazioni di ambiente su

singoli firewall o gruppi, pubblicazioni o riapplicazioni di policy, remote upgrade

(con trasferimento upgrade separato da applicazioni) possono essere

pianificate ed eseguite, con controllo e gestione di situazioni di errore, sia su

singoli engine che su gruppi di engine.

L’effetto nel complesso è di una drastica riduzione del costo di amministrazione,

delle risorse e del tempo necessario a compiere tali operazioni al crescere della

dimensione e della complessità della configurazione.

Pag. 20 di 21


Monitoring Client

Componenti licenziati a parte, pensati per la presentazione distribuita di log e allarmi,

sono Monitoring Server e Monitoring Client.

Si tratta di un sistema software che permette, grazie ad una GUI “leggera”, la

visualizzazione di log rilevanti per un dato “profilo” di utenza.

Il campo di impiego è notevole:

dall’azienda che vuole dare visibilità ai dipartimenti solo dei propri log, a strutture che

fanno della Sicurezza Gestita il proprio “core business”, e società di servizi che

gestiscono la sicurezza in outsourcing di propri Clienti, volendo comunque dare a questi

ultimi visibilità del traffico tracciato dal sistema StoneGate Firewall/VPN/IPS.

Lo schema operativo è il seguente:

Monitoring Server può essere installato sulla stessa macchina utilizzata per

Management o Log Server oppure su una macchina dedicata a tale funzione, Monitoring

Server agisce da communication server tra Management/Log Servers e i Monitoring

Client.

Monitoring Client, componente scaricabile da Web Server, si college al Monitoring

Server fornendo credenziali che vengono autenticate e controllate in comunicazione con

il Management Server (username/password oppure tramite autenticazione RADIUS).

Il filtro dei Log da visualizzare viene effettuato sul Monitoring Server in base al profile di

connessione.

I log visualizzabili sono sia quelli in tempo reale che lo storico, con possibilità di

applicare filtri di visualizzazione temporanei.

Completa il quadro un sistema di Remote Upgrade, che permette l’aggiornamento di un

cluster StoneGate da remoto senza necessità alcuna di presidio locale, grazie ad un

controllo di condizioni di errore completo ed efficiente con funzionalità di rollback

trasparente.

StoneGate Management Center permette anche la configurazione automatica sia

dell’aggiornamento dinamico degli elementi di configurazione che delle nuove versioni di

engine (IPS e Firewall) per effettuare il remote upgrade, lasciando agli amministratori il

completo controllo del grado di automazione nella manutenzione dell’intero sistema.

Tutte le licenze sono gestite centralmente da StoneGate tramite License Manager, con

la possibilità di effettuare l’assegnazione sia per IP che per StoneGate Management

Server. Il License Manager consente anche il controllo dello stato del contratto di

Maintenance and Support e relativa scadenza.

Il sistema è concepito per abbattere drasticamente due dei costi nascosti più importanti:

Total Cost of Ownership e Total Cost of Administration della soluzione.

Log-

server

Service Provider

FW/Cluster 2

Management-

server

Monitoring

Server

FW/Cluster 3 FW/Cluster 4

Customer 2

ClientClient

Client

Log-

server

Admin

Client

Customer 3

ClientClient

Client

Customer 4

ClientClient

ClientFW/Cluster 1

Customer 1

ClientClient

Client

Log Log Log

Log

Auth

Log LogMonitoring

Server

Log

Log Log

Log

Log-

server

Log-

server

Log-

server

Service Provider

FW/Cluster 2FW/Cluster 2

Management-

server

Management-

server

Monitoring

Server

Monitoring

Server

FW/Cluster 3FW/Cluster 3 FW/Cluster 4FW/Cluster 4

Customer 2

ClientClient

Client

Customer 2

ClientClientClientClient

ClientClient

Log-

server

Log-

server

Log-

server

Admin

Client

Admin

Client

Customer 3

ClientClient

Client

Customer 3


ClientClient

Customer 4

ClientClient

Client

Customer 4


ClientClientFW/Cluster 1

Customer 1

ClientClient

ClientFW/Cluster 1FW/Cluster 1

Customer 1


ClientClient

Log Log Log

Log

Auth

Log LogMonitoring

Server

Monitoring

Server

Log

Log Log

Log

Novità 4.0

Pag. 21 di 21


CAPITOLO 3 – CERTIFICAZIONI

StoneGate vanta alcune tra le più prestigiose certificazioni indipendenti del mercato,

quali:

Common Criteria EAL4+ per Firewall, VPN e HA

ICSA Labs

VPN Consortium (http://www.vpnc.org) base and advanced interoperability

NIST FIPS 140-2

CheckMark con certificazione Firewall Level 1, Firewall Level 2 e VPN

http://www.vpnc.org/

Documents

Stonesoft StoneGate - VIVIDOvivido.it/wp-content/uploads/2008/06/stonesoft_stonegate...parte integrante e fondamento della Stonesoft StoneGate Security Platform. StoneGate Firewall,