Stonesoft StoneGate
Panoramica sulla tecnologia
Marco Rottigni
5/29/2007
Pag. 2 di 21
Stonesoft Italia
Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721
Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: [email protected] – Web: http://www.stonesoft.it
Sommario
Capitolo 1 – Introduzione ____________________________________________________________________ 3
Capitolo 2 – Elementi Architetturali Differenzianti ________________________________________________ 4
StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. ______ 4
StoneGate IPS – Intrusion Detection Avanzata con Risposta Attiva. ______________________________ 12
Il sistema di gestione Stonegate Management Center _________________________________________ 14
Capitolo 3 – Certificazioni ___________________________________________________________________ 21
DOCUMENTO AGGIORNATO ALLE VERSIONI:
StoneGate Management Center: 4.0
StoneGate Firewall/VPN: 3.0
StoneGate IPS: 4.0
Pag. 3 di 21
Stonesoft Italia
Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721
Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: [email protected] – Web: http://www.stonesoft.it
CAPITOLO 1 – INTRODUZIONE
Questo documento riporta una panoramica su caratteristiche peculiari della piattaforma
StoneGate per la sicurezza logica.
L’idea è di fornire una base informativa per meglio definire offerte tecnologiche e
specifiche di progetto.
Le informazioni sono declinate come funzionalità singole della tecnologia StoneGate,
parte integrante e fondamento della Stonesoft StoneGate Security Platform.
StoneGate Firewall, VPN e IPS, con il relativo StoneGate Management Center
costituisce la Stonesoft Network Security Platform, schematizzata di seguito:
Tale architettura rappresenta la visione d’insieme della tecnologia Stonesoft per la
sicurezza logica e la business continuity e vede la soluzione StoneGate “declinata” in tre
tipi di funzionalità operative:
Concentratore VPN
Firewall, con funzionalità di VPN
IPS, con funzionalità di detection precisa, risposta proattiva a supporto
dell’Incident Management e correlazione intelligente di eventi.
Le tre funzioni (con la sola eccezione della VPN, presente anche su Firewall) non sono
combinabili in un’unica macchina, ma sono implementabili in diversi punti della rete data
l’elevata specializzazione di ogni componente, sia questo proposto come Software
Appliance (StoneGate da installare su un server Intel general purpose senza sistema
operativo – es. http://www.stonesoft.com/en/products_and_solutions/
supported_platforms/intel_servers/) o come Appliance
(http://www.stonesoft.com/en/products_and_solutions/
supported_platforms/fw_vpn_appliances/).
http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/
http://www.stonesoft.com/en/products_and_solutions/supported_platforms/intel_servers/
http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/
http://www.stonesoft.com/en/products_and_solutions/%0bsupported_platforms/fw_vpn_appliances/
Pag. 4 di 21
Stonesoft Italia
Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721
Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: [email protected] – Web: http://www.stonesoft.it
CAPITOLO 2 – ELEMENTI ARCHITETTURALI DIFFERENZIANTI
La tecnologia StoneGate presenta molteplici elementi innovativi e differenzianti, di cui
questa sezione fornisce una panoramica di massima.
StoneGate Firewall e VPN – Sicurezza perimetrale logica in alta disponibilità e clustering dinamico.
Funzione principe del modulo StoneGate Firewall e VPN è la realizzazione di sistemi di
protezione perimetrale logica (firewalling) con possibilità di agire da concentratore di
tunnel cifrati VPN.
È altresì possibile implementare StoneGate come puro concentratore di tunnel VPN
senza funzioni di discriminazione del traffico e firewalling.
Gestione completamente centralizzata di interfacce, routing e antispoofing.
Spesso le soluzioni di firewalling software presentano carichi di gestione “nascosti”, quali
ad esempio l’impossibilità di configurare da interfaccia grafica elementi quali indirizzi
MAC e IP di interfaccia oppure instradamenti ed anti-spoofing.
Grazie all’interazione tra nodo firewall e centro di gestione StoneGate Management
Center, diventa possibile gestire in modo grafico, semplificato e con controllo di errore
tutti questi parametri in modo centralizzato, inviandoli successivamente al nodo con
l’operazione di pubblicazione della configurazione.
A valle di una pubblicazione di successo, il nodo tenta di raggiungere il sistema di
Management con le nuove informazioni di routing e, in caso di impossibilità, esegue il
“roll-back” all’ultima configurazione corretta.
Questo accorgimento evita di rendere un firewall o firewall cluster irrangiungibile a causa
di errori di configurazione umani.
Controllo approfondito a livello IP e TCP
Caratteristica “genetica” di StoneGate Firewall e VPN è il controllo del pacchetto IP sia
per la coerenza delle opzioni di protocollo che per checksum.
Per quanto riguarda il protocollo TCP, StoneGate verifica sia un controllo di handshake
sulle regole ove prevista stateful inspection sia un controllo dei flag TCP pertinenti ad
ogni stato del protocollo.
È prevista anche la gestione della frammentazione di pacchetto, così come servizi
generici per tipi di protocolli IP diversi da UDP, TCP, ecc.
Scalabilità networking e processing verticale
StoneGate, oltre alla scalabilità orizzontale offerta dal clustering con load balancing
dinamico, offre una interessante scalabilità orizzontale grazie a:
Supporto SMP, che permette l’utilizzo efficiente di risorse di processing su
macchine multiprocessore
Gestione fino a 254 interfacce di rete fisiche
Gestione VLAN Tagging 802.1q con definizione fino a 4094 VLAN per
interfaccia fisica
Supporto multicast IP static routing e policy routing
Gestione proxy e static ARP da GUI centralizzata senza necessità di operare su
nodo firewall
Pag. 5 di 21
Stonesoft Italia
Centro Direzionale Colleoni - Palazzo Andromeda Tel. (+39) 039 6083385 – Fax. (+39) 039 6082721
Via Paracelso 20 – 20041 Agrate Brianza (MI) Mail: [email protected] – Web: http://www.stonesoft.it
Supporto IP Dinamico e DHCP Relay
StoneGate supporta IP dinamico su interfaccia di controllo e come VPN endpoint su
firewall singolo. L’indirizzo IP dinamico può essere non ruotabile ed è utilizzabile in
combinazione con la tecnologia Multi-Link
®
.
La funzionalità di DHCP Relay, inoltre, permette il forwarding su tunnel VPN o in chiaro
di richieste DHCP provenienti da client di una delle reti protette verso un server DHCP.
Caratteristiche del cluster di firewall
StoneGate include un sistema di clustering di tipo “active-active”, caratterizzato da
elevata scalabilità fino a 16 nodi per cluster logico con failover di sessione trasparente in
caso di guasto del nodo gerente una data sessione.
Il cluster si presenta in rete come Network Single System Image, cioè in completa
trasparenza a livello 2 e 3 del modello di riferimento ISO/OSI con una modalità operativa
esclusiva di Stonesoft e chiamata Drop-In Firewall Clustering, senza impatto su
dispositivi di switching e routing circostanti il firewall cluster.
Ulteriori dettagli su questa modalità sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/features/gateway_clustering/
La scalabilità elevata presenta particolare interesse nelle funzionalità VPN in quanto si
traduce in aggregazione di throughput, grazie alle caratteristiche di load balancing che
sfruttano la potenza computazionale delle singole macchine componenti il cluster in
modo aggregato.
Gestione di più link ad Internet in modalità aggregata con StoneGate Multi-Link®
StoneGate include la tecnologia Multi-Link
®
per la gestione di più link a Internet in
modalità aggregata.
Per ogni connessione, StoneGate seleziona automaticamente il link più performante in
base alla destinazione da raggiungere.
Brevettato in tutto il mondo da Stonesoft, il sistema mantiene la massima trasparenza in
rete grazie alla metodologia utilizzata, basata su tecniche di NAT.
Ulteriori informazioni su StoneGate Multi-Link sono disponibili all’indirizzo
http://www.stonesoft.com/en/products_and_solutions/features/isp_multi-homing/
Bandwidth Management e QoS
StoneGate Firewall include un’infrastruttura tecnologica per gestire sia garanzie che
limitazioni di banda e Quality of Service secondo gli standard.
Grazie ad un’elevata granularità di configu
