Post on 14-Apr-2015
STONEGATESolución integral de seguridad
Maria.campos@stonesoft.com
PROBLEMÁTICA DE LAS UNIVERSIDADES EN SEGURIDAD
Infraestructura (II)
Núcleo de la red Conmutado y con
routing Fibra óptica Análisis de tráfico: nivel
7 y monitorización Loging a red, balanceo
de carga, proxy… Arquitectura de red
DMZ Cortafuegos Proxy
Direccionamiento privado ?
Mayor inteligencia en la red
¿Application Switch?
Servicios (II)
• Servicios corporativos
– Aplicaciones gestión– Servicios
personalizados
• Servicios de proveedores– Revistas electrónicas– Bases de datos on line
• Servicios públicos– Web– FTP…
• SSL / SSH / IPSec• LDAP • PKI• VPN• Aceleradores
Puesto de trabajo
• Comunidad Universitaria– Accede a todos los tipos de
servicio
• Comunidades de interés– Grupos de investigadores
que acceden a recursos de otros grupos
• Empresas colaboradoras– Mantenimiento y gestión de
aplicaciones
• SSL / SSH / IPSec• LDAP • PKI• VPN
¿Cómo puede Stonesoft dar respuesta a las necesidades de seguridad en el entorno
universitario?
Internet
Internal network
Múltiples ISP’s
HA
HA
HA
RedundantMulti-ISP hw solution Redundant
Multi-ISPinbound LBhw solution
RedundantInbound LBhw solution Additional
HA software solution
DMZServer
Managementserver
Solución INTEGRADA y GLOBAL de seguridad
Aproximación tradicional: Diseño
Tradicional = varios niveles SO, necesita securización,
patches, mantenimiento Firewall, necesita
configuración,mantenimiento
HA necesita configuración,mantenimiento
High Availability
Software
Firewall
Software
Operating
system
Software Appliance
• Firewall
• VPN
• Load balancing
•Clustering and HA
• Multi-Link Tech.
• Operating system
Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta disponibilidad de las redesdisponibilidad de las redesEl primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples El primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples ISP’sISP’s
Firewall de Alta DisponibilidadFirewall de Alta Disponibilidad
PRINCIPIOS DE DISEÑOPRINCIPIOS DE DISEÑO
Sistema operativo cerrado y securizado Sistema operativo cerrado y securizado basado en basado en Linux:Linux:Seguridad garantizada + incremento del rendimientoSeguridad garantizada + incremento del rendimientoHardware estándar Hardware estándar Soporte proporcionado por StoneSoftSoporte proporcionado por StoneSoft
Throughput Throughput y y performanceperformance para atender grandes volúmenes de tráfico (multi-para atender grandes volúmenes de tráfico (multi-threadthread))
Seguridad máximaMulti-Layer Inspection
Un paso más allá del Stateful Inspection
Seguridad a nivel de aplicación
Flexible de gestionar Transparente
Clustering StoneGate™
Internet
Node 1
CVI 0
CVI 1
NDI A,1
Interfaces on NIC ID0
Interfaces on NIC ID1
NDI C,1NDI B,1 NDI D,1
NDI A,0 NDI B,0 NDI C,0 NDI D,0
Node 2
Node 3
Node 4
CVI: Cluster Virtual Interface
NDI: Node Dedicated Interface
Inter-node communicationsTraffic on CVIs
Traffic on NDIs
Localnetwork
Tecnología Multi-Link: Tecnología Multi-Link: Acceso inininterrumpido a Acceso inininterrumpido a
la redla red Múltiples conexiones con ISPs StoneGate proporciona fail-over y
balanceo de carga Tres formas de operación:
Tráfico saliente Tráfico entrante Túneles VPN
InternetLAN
ISP A
ISP B
ISP C
Multi-Link: Balanceo saliente de ISPs
Localnetwork
Internet
NetLink 1
NetLink 3
NetLink 2Firewallcluster
Source host
Destinationhost
Step 2: FW sends SYNpackets through all available
ISP and measures RTT
Step 3: FW selects fastestroute and connection isopened between hosts
Step 1: Connectionrequest to destination host
on the Internet
Tecnología Multi-Link: Tecnología Multi-Link: Túneles VPNTúneles VPN
Internet
LAN
ISP A ISP B ISP C
LAN
ISP XISP Y
Multi-Link monitoriza el estado y performance de todos los subtúneles
Si un subtunel falla, el tráfico será failed over a los otros subtúneles
A mejor performance en un subtunel, mayor tráfico tendrá asignado
Multi-Link VPN crea subtúneles utilizando cada camino posible
¿Qué ganamos con Multi-Link? Performance
Arquitectura
GUI client GUI clientGUI client
SSL
Engine 2Engine 1 Engine 3
Firewall cluster
. . . Engine 16
Database
Management-
serverDatabase
2Log-
server1
n
Management system
SSL
Arquitectura StoneGate Un Ejemplo
Internet
Atlanta LAN
San Francisco LAN
Frankfurt LAN
Management
server
Log server
Log server
GUI client
GUI client GUI
client
Flexibilidad de Gestión
Management GUI Screenshot
StoneGate’s Flexible Management System reduce los errores de operador y administrativos
Management totalmente centralizadoS.O. gestionado desde la GUIRoutingAnti-spoofingProxies ARP automáticosNAT and VPNHerramientas potentes para la política de seguridadLogs almacenados en base de datosMonitorización desde la GUI con estadísticas
Gestión del cluster built-in
Routing, entradas proxy ARP y direcciones IP se configuran una sola vez para el cluster
Gestión del routing flexible
Configuración de rutas
Gestión automática delAnti-spoofing
Reglas de anti-spoofing generadas automáticamente
Entradas proxy ARP automáticas
Entradas proxy ARP se crean automáticamente (por ejemplo con reglas de NAT)
Gestión de VPNs flexible
Definición única en la regla base
Gestión de la política de seguridad con
herramientas potentes y flexibles Plantillas regla base y
herencia
Logs almacenados en una base de datos
Facilidad de filtrado y búsqueda Exportación a archivos Generación de alertas
Immediate discard / no log
entry
Discard before storing / transient
entry
Discard after archiving (only if huge volumes)
Database
Log browser
Archivefiles
Log data not wanted
Log data for occasional
observation
Log data for archiving
Log data for observation for a
suitable time after created
Monitorización desde la GUI
Estadísticas continuas sobre firewalls en la GUI
Precio/Performance de los líderes de mercado
Nokia IP740 1,75 Gbps 1,000,000 concurrent
connections AES256 - 90 Mbps VPN
throughput - 1,7 GHz Xeon 154 Mbps 3DES
throughput with hw acceleration
10,000 concurrent VPN tunnels
Price without CP software USD 55,000
StoneGate with standard hardware 1,35 Gbps throughput 1,000,000 concurrent
connections AES256 - 165 Mbps VPN
throughput with one node (2 CPUs a 700 MHz)
10,000 concurrent VPN tunnels (memory specific)
Price of hardware without StoneGate software USD 4,000
Nuevas funcionalidades en StoneGate 2.0
VLAN tagging (802.1q) IP routing multicast estático Soporte de la familia de protocolos
H.323 Actualizaciones de firewalls remotos Auditing Log archive browsing Topología VPN hub (star) IP dinamicas para VPN GW externos
Algunas Referencias
C O L T
April 2002 Edition
”Best Prefered VPN” September 2002
SoftWare Appliance Approachs
StoneGate convierte cualquier servidor intel o SPARC en un ”appliance” de seguridad Alto rendimiento Alta seguridad (SO propio
integrado) Gran Escalibilidad (multi-CPU)
Algunas plataformas SUN e Intel...
StoneGate Appliance Product Family
Main office gateway
Branch office gateway
Remote office gateway
Small office gateway
Mobile User
Large Enterprise
Large Enterprise Management solution
SME Management solution
Medium Enterprise
Small Enterprise
SOHO
StoneGate - Todo en uno
Soluciones de varios fabricantes:
- riesgo técnico alto
- coste más elevado debido a varias tecnologías, acuerdos de soporte & mantenimiento
StoneGate 3.0
Target release: 2H 2003 New features
built-in network diagram editor advanced server load balancing protocol agent API bandwidth management SIP protocol agent new alert notification server