STONEGATE Solución integral de seguridad
Download
Report
Transcript STONEGATE Solución integral de seguridad
STONEGATE
Solución integral de seguridad
[email protected]
PROBLEMÁTICA DE LAS UNIVERSIDADES EN SEGURIDAD
Infraestructura (II)
Núcleo de la red
Conmutado y con routing
Fibra óptica
Análisis de tráfico: nivel 7
y monitorización
Loging a red, balanceo de
carga, proxy…
Arquitectura de red
DMZ
Cortafuegos
Proxy
Direccionamiento privado ?
Mayor inteligencia en la
red
¿Application Switch?
Servicios (II)
• Servicios corporativos
– Aplicaciones gestión
– Servicios
personalizados
• Servicios de proveedores
– Revistas electrónicas
– Bases de datos on line
• Servicios públicos
– Web
– FTP…
•
•
•
•
•
SSL / SSH / IPSec
LDAP
PKI
VPN
Aceleradores
Puesto de trabajo
• Comunidad Universitaria
– Accede a todos los tipos de
servicio
• Comunidades de interés
– Grupos de investigadores
que acceden a recursos de
otros grupos
• Empresas colaboradoras
– Mantenimiento y gestión de
aplicaciones
•
•
•
•
SSL / SSH / IPSec
LDAP
PKI
VPN
¿Cómo puede Stonesoft dar
respuesta a las necesidades de
seguridad en el entorno
universitario?
Solución INTEGRADA y
GLOBAL de seguridad
Internet
Múltiples ISP’s
Redundant
Multi-ISP hw solution
Management
server
Server
Redundant
Inbound LB
hw solution
H
A
H
A
H
A
DMZ
Redundant
Multi-ISP
inbound LB
hw solution
Additional
HA software solution
Internal network
Aproximación tradicional: Diseño
Tradicional = varios niveles
SO, necesita securización,
patches, mantenimiento
Firewall, necesita
configuración,
mantenimiento
HA necesita configuración,
mantenimiento
High Availability
Software
Firewall
Software
Operating
system
Software Appliance
• Firewall
• VPN
• Load balancing
•Clustering and HA
• Multi-Link Tech.
• Operating system
Firewall de Alta Disponibilidad
Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta
disponibilidad de las redes
El primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples
ISP’s
PRINCIPIOS DE DISEÑO
Sistema operativo cerrado y securizado basado en Linux:
Seguridad garantizada + incremento del rendimiento
Hardware estándar
Soporte proporcionado por StoneSoft
Throughput y performance para atender grandes volúmenes de tráfico (multi-thread)
Seguridad máxima
Multi-Layer Inspection
Un paso más allá del
Stateful Inspection
Seguridad a nivel de
aplicación
Flexible de gestionar
Transparente
Clustering StoneGate™
Internet
Interfaces on NIC ID0
NDI A,0
Node 1
NDI A,1
NDI B,0
Node 2
NDI B,1
Interfaces on NIC ID1
CVI 0
NDI C,0
Node 3
NDI C,1
NDI D,0
Node 4
NDI D,1
CVI 1
CVI: Cluster Virtual Interface
NDI: Node Dedicated Interface
Local
network
Inter-node communications
Traffic on CVIs
Traffic on NDIs
Tecnología Multi-Link:
Acceso inininterrumpido a la red
Múltiples conexiones con ISPs
StoneGate proporciona fail-over y
balanceo de carga
Tres formas de operación:
Tráfico saliente
Tráfico entrante
Túneles VPN
ISP A
LAN
ISP B
ISP C
Internet
Multi-Link: Balanceo saliente de
ISPs
Internet
Local
network
NetLink 1
Firewall
cluster
Source host
Step 1:Connection
request to destination host
on the Internet
Destination
host
NetLink 2
NetLink 3
Step 2:FW sends SYN
packets through all available
ISP and measures RTT
Step 3:FW selects fastest
route and connection is
opened between hosts
Tecnología Multi-Link: Túneles
VPN
Multi-Link VPN crea subtúneles
utilizando cada camino posible
Multi-Link monitoriza el estado y
performance de todos los
subtúneles
A mejor performance en un
subtunel, mayor tráfico tendrá
asignado
Si un subtunel falla, el tráfico
será failed over a los otros
subtúneles
LAN
ISP A
ISP B
ISP C
Internet
ISP Y
ISP X
LAN
¿Qué ganamos con Multi-Link?
Performance
Arquitectura
GUI client
GUI client
GUI client
SSL
Management system
n
Database
2
1
Managementserver
Logserver
Database
SSL
Firewall cluster
Engine 1
Engine 2
Engine 3
. . .
Engine 16
Arquitectura StoneGate
Un Ejemplo
Frankfurt LAN
GUI client
Internet
GUI client
Atlanta LAN
Management
server
Log
server
Log
server
San Francisco LAN
GUI client
Flexibilidad de Gestión
Management GUI Screenshot
Management totalmente centralizado
S.O. gestionado desde la GUI
Routing
Anti-spoofing
Proxies ARP automáticos
NAT and VPN
Herramientas potentes para la política de seguridad
Logs almacenados en base de datos
Monitorización desde la GUI con estadísticas
StoneGate’s Flexible Management System reduce los
errores de operador y administrativos
Gestión del cluster built-in
Routing, entradas proxy ARP y
direcciones IP se configuran una
sola vez para el cluster
Gestión del routing flexible
Configuración de rutas
Gestión automática del
Anti-spoofing
Reglas de anti-spoofing
generadas automáticamente
Entradas proxy ARP automáticas
Entradas proxy ARP se crean
automáticamente (por ejemplo
con reglas de NAT)
Gestión de VPNs flexible
Definición única en la regla
base
Gestión de la política de
seguridad con herramientas
potentes y flexibles
Plantillas regla base y herencia
Logs almacenados en una base
de datos
Facilidad de filtrado y búsqueda
Exportación a archivos
Generación de alertas
Log data for
observation for a
suitable time after
created
Database
Log browser
Discard after archiving
(only if huge volumes)
Log data for archiving
Archive
files
Discard before storing
/ transient entry
Log data for
occasional
observation
Immediate discard / no
log entry
Log data not wanted
Monitorización desde la GUI
Estadísticas continuas sobre
firewalls en la GUI
Precio/Performance de los líderes de
mercado
Nokia IP740
1,75 Gbps
1,000,000 concurrent
connections
AES256 - 90 Mbps VPN
throughput - 1,7 GHz
Xeon
154 Mbps 3DES
throughput with hw
acceleration
10,000 concurrent VPN
tunnels
Price without CP software USD
55,000
StoneGate with
standard hardware
1,35 Gbps
throughput
1,000,000
concurrent
connections
AES256 - 165 Mbps
VPN throughput
with one node (2
CPUs a 700 MHz)
10,000 concurrent
VPN tunnels
(memory specific)
Price of hardware
without StoneGate
software USD 4,000
Nuevas funcionalidades en
StoneGate 2.0
VLAN tagging (802.1q)
IP routing multicast estático
Soporte de la familia de protocolos
H.323
Actualizaciones de firewalls remotos
Auditing
Log archive browsing
Topología VPN hub (star)
IP dinamicas para VPN GW externos
Algunas Referencias
C O L T
April 2002 Edition
”Best Prefered VPN” September 2002
SoftWare Appliance Approachs
StoneGate convierte cualquier
servidor intel o SPARC en un
”appliance” de seguridad
Alto rendimiento
Alta seguridad (SO propio integrado)
Gran Escalibilidad (multi-CPU)
Algunas plataformas SUN e Intel...
StoneGate Appliance
Product Family
Main office gateway
Branch office gateway
Large Enterprise Management solution
Large Enterprise
Medium Enterprise
Remote office gateway
Small Enterprise
SOHO
Small office gateway
SME Management solution
Mobile User
StoneGate - Todo en uno
Soluciones de varios
fabricantes:
- riesgo técnico alto
- coste más elevado
debido a varias
tecnologías, acuerdos
de soporte &
mantenimiento
StoneGate 3.0
Target release: 2H 2003
New features
built-in network diagram editor
advanced server load balancing
protocol agent API
bandwidth management
SIP protocol agent
new alert notification server