STONEGATE Soluci�n integral de seguridad by 33e2LHO

VIEWS: 19 PAGES: 36

									                          STONEGATE
        Solución integral de seguridad




Maria.campos@stonesoft.com
PROBLEMÁTICA DE LAS UNIVERSIDADES EN SEGURIDAD
                                      Infraestructura (II)
   Núcleo de la red
      Conmutado y con routing
      Fibra óptica
      Análisis de tráfico: nivel 7
       y monitorización                  Mayor inteligencia en la
      Loging a red, balanceo de          red
       carga, proxy…
   Arquitectura de red
                                         ¿Application Switch?
      DMZ
      Cortafuegos
      Proxy


   Direccionamiento privado ?
                                         Servicios (II)
• Servicios corporativos      •   SSL / SSH / IPSec
   – Aplicaciones gestión     •   LDAP
                              •   PKI
   – Servicios
                              •   VPN
     personalizados
                              •   Aceleradores

• Servicios de proveedores
   – Revistas electrónicas
   – Bases de datos on line

• Servicios públicos
   – Web
   – FTP…
                                   Puesto de trabajo
• Comunidad Universitaria
   – Accede a todos los tipos de
     servicio


• Comunidades de interés           •   SSL / SSH / IPSec
   – Grupos de investigadores      •   LDAP
     que acceden a recursos de     •   PKI
     otros grupos
                                   •   VPN

• Empresas colaboradoras
   – Mantenimiento y gestión de
     aplicaciones
   ¿Cómo puede Stonesoft dar
respuesta a las necesidades de
      seguridad en el entorno
                  universitario?
Solución INTEGRADA y
GLOBAL de seguridad

                                     Internet

                                                    Múltiples ISP’s

     Redundant
Multi-ISP hw solution                                        Redundant
                                                               Multi-ISP
       Management
         server                                              inbound LB
                    Server
                             H       H     H                 hw solution
                                           A        DMZ
Redundant                    A       A

Inbound LB
hw solution                                             Additional
                                                    HA software solution


                                 Internal network
    Aproximación tradicional: Diseño

                                 High Availability
 Tradicional = varios niveles
                                    Software
 SO, necesita securización,
  patches, mantenimiento
                                     Firewall
 Firewall, necesita                 Software
  configuración,
  mantenimiento                     Operating
 HA necesita configuración,          system
  mantenimiento
               Software Appliance
• Firewall

• VPN

• Load balancing

•Clustering and HA

• Multi-Link Tech.

• Operating system
                                                        Firewall de Alta Disponibilidad

Un firewall escalable y una solución VPN desarrollada para securizar y garantizar la alta
disponibilidad de las redes
El primer firewall que proporciona conexiones seguras y balanceo de carga entre múltiples
ISP’s



                         PRINCIPIOS DE DISEÑO

Sistema operativo cerrado y securizado basado en Linux:
               Seguridad garantizada + incremento del rendimiento
               Hardware estándar
               Soporte proporcionado por StoneSoft
Throughput y performance para atender grandes volúmenes de tráfico (multi-thread)
                Seguridad máxima
            Multi-Layer Inspection
 Un paso más allá del
  Stateful Inspection
 Seguridad a nivel de
  aplicación
 Flexible de gestionar
 Transparente
Clustering StoneGate™


                                 Internet


              Interfaces on NIC ID0              CVI 0


    NDI A,0                   NDI B,0          NDI C,0                         NDI D,0


  Node 1                   Node 2           Node 3                        Node 4

    NDI A,1                   NDI B,1         NDI C,1                         NDI D,1




              Interfaces on NIC ID1             CVI 1
                                                         CVI: Cluster Virtual Interface
                                                         NDI: Node Dedicated Interface
                                 Local                           Inter-node communications

                                network                          Traffic on CVIs
                                                                 Traffic on NDIs
          Tecnología Multi-Link:
Acceso inininterrumpido a la red
        Múltiples conexiones con ISPs
        StoneGate proporciona fail-over y
         balanceo de carga
        Tres formas de operación:
            Tráfico saliente
            Tráfico entrante
            Túneles VPN
                         ISP A
                         ISP B
   LAN                            Internet
                         ISP C
  Multi-Link: Balanceo saliente de
                              ISPs
                                                                                      Destination
                                                                                         host
                                                               Internet
       Local
      network                               NetLink 1



                              Firewall      NetLink 2
                              cluster


Source host                                 NetLink 3

    Step 1:Connection             Step 2: FW sends SYN         Step 3:FW selects fastest
request to destination host    packets through all available   route and connection is
      on the Internet             ISP and measures RTT          opened between hosts
    Tecnología Multi-Link: Túneles
                              VPN
                               Multi-Link VPN crea subtúneles
                      LAN       utilizando cada camino posible
                               Multi-Link monitoriza el estado y
                                performance de todos los
                                subtúneles
ISP A   ISP B       ISP C      A mejor performance en un
                                subtunel, mayor tráfico tendrá
                                asignado
         Internet              Si un subtunel falla, el tráfico
                                será failed over a los otros
                                subtúneles

         ISP Y
ISP X

                      LAN
¿Qué ganamos con Multi-Link?
               Performance
                                                           Arquitectura

                        GUI client     GUI client   GUI client


                                 SSL



                                                                   Management system

                            Log-                       Management-
           n
                2
                    1
                           server                         server
Database                                                                       Database

                                              SSL



                                                                         Firewall cluster




     Engine 1             Engine 2          Engine 3             . . .          Engine 16
                      Arquitectura StoneGate
                                  Un Ejemplo
                          Frankfurt LAN     Log
                                           server
             GUI client




                            Internet           San Francisco LAN



                              Management
GUI client
                                server                   GUI client

     Atlanta LAN               Log
                              server
           Flexibilidad de Gestión
                                             Management GUI Screenshot

 Management totalmente centralizado
 S.O. gestionado desde la GUI
 Routing
 Anti-spoofing
 Proxies ARP automáticos
 NAT and VPN
 Herramientas potentes para la política de seguridad
 Logs almacenados en base de datos
 Monitorización desde la GUI con estadísticas




StoneGate’s Flexible Management System reduce los
errores de operador y administrativos
Gestión del cluster built-in

   Routing, entradas proxy ARP y
    direcciones IP se configuran
    una sola vez para el cluster
Gestión del routing flexible

   Configuración de rutas
       Gestión automática del
                Anti-spoofing
   Reglas de anti-spoofing
    generadas automáticamente
Entradas proxy ARP automáticas

       Entradas proxy ARP se crean
        automáticamente (por ejemplo
        con reglas de NAT)
     Gestión de VPNs flexible

   Definición única en la regla
    base
   Gestión de la política de
seguridad con herramientas
        potentes y flexibles
   Plantillas regla base y herencia
    Logs almacenados en una base
                        de datos
             Facilidad de filtrado y búsqueda
             Exportación a archivos
             Generación de alertas
     Log data for
  observation for a                   Database            Log browser
  suitable time after
       created
                                                 Discard after archiving
                                                 (only if huge volumes)

Log data for archiving   Archive
                          files
                                                 Discard before storing
                                                    / transient entry
     Log data for
     occasional
     observation
                                                 Immediate discard / no
                                                      log entry
Log data not wanted
Monitorización desde la GUI

   Estadísticas continuas sobre
    firewalls en la GUI
Precio/Performance de los líderes de
                            mercado
                                StoneGate with
Nokia IP740                        standard hardware
      1,75 Gbps                     1,35 Gbps
      1,000,000 concurrent           throughput
       connections                  1,000,000
      AES256 - 90 Mbps VPN           concurrent
       throughput - 1,7 GHz           connections
       Xeon                         AES256 - 165 Mbps
      154 Mbps 3DES                  VPN throughput
       throughput with hw             with one node (2
       acceleration                   CPUs a 700 MHz)
      10,000 concurrent VPN        10,000 concurrent
       tunnels                        VPN tunnels
                                      (memory specific)
Price without CP software USD     Price of hardware
   55,000                         without StoneGate
                                  software USD 4,000
    Nuevas funcionalidades en
               StoneGate 2.0
   VLAN tagging (802.1q)
   IP routing multicast estático
   Soporte de la familia de protocolos
    H.323
   Actualizaciones de firewalls remotos
   Auditing
   Log archive browsing
   Topología VPN hub (star)
   IP dinamicas para VPN GW externos
Algunas Referencias
         C O L T
        April 2002 Edition




”Best Prefered VPN” September 2002
SoftWare Appliance Approachs
    StoneGate convierte cualquier
     servidor intel o SPARC en un
     ”appliance” de seguridad
        Alto rendimiento
        Alta seguridad (SO propio integrado)
        Gran Escalibilidad (multi-CPU)

    Algunas plataformas SUN e Intel...
                   StoneGate Appliance
                        Product Family
  Main office gateway    Large Enterprise Management solution




Branch office gateway
                                   Large Enterprise

                                  Medium Enterprise

Remote office gateway
                                   Small Enterprise

                                        SOHO

  Small office gateway


                              SME Management solution

          Mobile User
StoneGate - Todo en uno


       Soluciones de varios
       fabricantes:
       - riesgo técnico alto
       - coste más elevado
       debido a varias
       tecnologías, acuerdos
       de soporte &
       mantenimiento
                    StoneGate 3.0
 Target release: 2H 2003
 New features
     built-in network diagram editor
     advanced server load balancing
     protocol agent API
     bandwidth management
     SIP protocol agent
     new alert notification server

								
To top