copyright © 2009 stonesoft corporation. all rights reserved. stonegate firewall 5.0 javier larrea...
Post on 28-Jan-2016
229 Views
Preview:
TRANSCRIPT
Copyright © 2009 Stonesoft Corporation. All rights reserved.
StoneGate Firewall 5.0
Javier Larrea Jaspe
Madrid 13/07/2009
Slide 2 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Plataforma StoneGate
Slide 3 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Arquitectura StoneGate
Slide 4 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Plataformas soportadas
• Firewall/VPN gateway• StoneGate appliance• Servidores Intel® x86• VMware Virtual appliance • Sistema operativo fortificado para funcionar como firewall/VPN
• Basado en Debian Linux (kernel 2.6.15)• Sólo incluye los módulos estrictamente necesarios para el funcionamiento de StoneGate FW
• VPN Client para Microsoft® Windows®
• Sistema de gestión basado en Java (SMC)
Slide 5 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Multi-Layer Inspection
Protocol Agents• Validan del funcionamiento del protocolo (ej.: las conexiones SIP deben cumplir la RFC 3261)
• Modifican el payload del paquete si es necesario (ej.: NAT en el protocolo H.323)
• Conexiones relacionadas (e.g. FTP data connection)
• Redirección a CIS (e.g. FTP, HTTP, SMTP)
Combina tres tecnologías:Packet filteringStateful inspectionApplication layer inspection (Protocol
Agents)
Slide 6 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Deep Packet Inspection
• Funcionalidades de un IPS en el firewall para HTTP,SIP, IMAP, POP y SMTP
• Protocol validation• Misuse detection (basado en firmas)
• HTTPS server/client inspection• Configuración en otro grupo de reglas: Inspection Rules
• Dynamic updates• Firmas presonalizables (ej.: filtrado de URLs)
• Detección de uso de aplicativos
Slide 8 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Cluster FW activo-activo
Firewall/VPN Cluster
• Cluster hasta 16 nodos
• Proporciona escalabilidad y HA
• Gestionado como un sólo firewall/VPN
• Soporte plataforma heterogénea
• No se requieren ventanas de mantenimiento en la actualización
Node 1
33%
Node 2
33%
Node 3
33%
Slide 9 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Balanceo saliente de ISPs(1/3)
• El cliente inicia la conexión y manda un paquete SYN:
Internet
SYN SYN
SYN• StoneGate replica el paquete SYN a través de todos los ISPs con diferentes direcciones origen NAT
Client
Server
• El servidor responde a los paquetes SYN con un SYN-ACK
• El ISP que entrega el paquete SYN-ACK más rápidamente es el seleccionado
• El FW envia un RST a través del resto de los ISPs
RST SYN-ACK
LAN
SYN
Slide 10 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Balanceo saliente de ISPs(2/3)
• El ISP más rápido se cachea por destino
Internet
Client
Server
• Siempre se usará el ISP cacheado para un mismo destino
• Si la conexión no puede progresar por el ISP cacheado se ejecutará el algoritmo RTT de nuevo
LAN
• Otros métodos de balanceo saliente• Ratio• Basado en QoS class• Activo/standby
Slide 11 Copyright © 2009 Stonesoft Corporation. All rights reserved.
LAN
Balanceo entrante de ISPs (1/3)
• El cliente hace una consulta al DNS
Internet
Client
Server
• El servidor DNS responde con varias direccione IPs
• El cliente hace una petición al servidor utilizando la ip de uno de los ISPs
• StoneGate hace un NAT de destino
• La paquetes de vuelta los devuelve por el mismo ISP
DNS Server
Slide 12 Copyright © 2009 Stonesoft Corporation. All rights reserved.
LAN
Balanceo entrante de ISPs(2/3)
• Si falla uno de los ISPs normalmente el cliente reintenta utilizando otra ip disponible
Internet
Client
Server
DNS Server
Slide 13 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Balanceo entrante de ISPs(3/3)
• StoneGate firewall prueba la disponibilidad haciendo tests ICMP
Internet
Client
Server
ping
ping
ping
• Si el ping falla en ISP se considera caido, y el firewall envía una actualización DDNS para eliminar la dirección ip del registro DNS.
DNS Server
DDNS
LAN
Slide 14 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Multi-Link VPN
• Multi-Link VPN crea tantos subtúneles como combinaciones posibles de IPSs
• Multi-Link monitoriza el estado y el rendimiento de cada uno de los subtúneles y basandose en ello asigna el tráfico
• Si falla un subtúnel mantiene las sesiones activas asignándolas al resto de los subtúneles
LAN
Internet
LAN
ISP A
ISP B
ISP C
ISP X
ISP Y
• Soporta modo activo/standby
• Cliente VPN• VPNs topologías full mesh, estrella y VPN hub
Slide 15 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Balanceo de servidores
• Las conexiones se balancean basándose en la disponibilidad del servidor
• El firewall monitoriza los servidores usando ping o el software Monitoring Agent(*
• Puede ser usado en combinación con Multi-Link
*) Monitoring Agent is available for Windows®, Linux® and SolarisTM
Slide 16 Copyright © 2009 Stonesoft Corporation. All rights reserved.
QoS
•Clasificación de tráfico basandose en• DSCP matching • Firewall policy
•QoS policy por (VLAN) interfaz• Prioridades, garantías y límites [% ó kbps]• Marcado DSCP
Slide 17 Copyright © 2009 Stonesoft Corporation. All rights reserved.
UTM FW-310, FW-1030 & FW-1060
Modelos con capacidades de antivirus de red
Slide 18 Copyright © 2009 Stonesoft Corporation. All rights reserved.
SMC – Gestión centralizada
• Reutilización de objetos, políticas en diferentes engines• Base de datos única• Repositorio central de todas las
configuraciones- políticaqs, configuración de red,…
• Reutilización = menos errores
•Disaster recovery•Backups SMC automatizados•Administración basada en perfiles•Administración simultanea
• Dominios de cliente
Slide 19 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Políticas basadas en plantillas
Un cambio en la plantilla afecta a todas las politicas dependientes.
Las reglas de la política principal pueden “ejecutar” subpolíticas
• Mejora el rendimiento y la gestión• Posibilidad de asignar perfiles de
administración permitiendo modificación de reglas a distintos niveles.
Otras herramientas• Contador de hits• Busqueda de objetos• Validación de políticas• Comentarios• Creación de reglas desde los logs
Hierarchical Policies
Gestor de políticas
Slide 20 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Objetos Alias
•Toman un valor en función del firewall donde se instala la política • Permite reutilizar la misma política en diferentes firewalls • Compartir parte de la política en una plantilla
Slide 21 Copyright © 2009 Stonesoft Corporation. All rights reserved.
• Monitorización de estado a través del GUI en tiempo real
• Estado de los engines, VPNs, servers (información detallada)
• Alertas activas• Estadísticas en tiempo real
• Monitorización vía SNMP• Sistema de escalado de alertas
(smtp, sms, snmp, script)
Monitorización
Detección temprana
Slide 22 Copyright © 2009 Stonesoft Corporation. All rights reserved.
• Visión de logs de todos los engines gestionados.
• Filtrado• Exportado de logs• Alto rendimiento• StoneGate Log Views:
• Log Records• Log Statistics• Log Details
• Recursividad en el análisis de los logs
Gestor de logs
Slide 23 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Reporting y cumplimiento de regulaciónes
• Informes gráficos predefinidos y personalizables• Automatizables• Registros de auditoría. Informes• Análisis comparativo de políticas
Slide 24 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Monitorización en tiempo real
• Monitorización personalizable
• Geolocations
• Web portal
Slide 25 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Certificaciones
• Common Criteria Certification EAL 4+
• ICSA Labs Certified IPS• StoneGate IPS – Only production-ready IPS that
has met the latest ICSA certification requirements
• ICSA Labs Certified Firewall
• VMware• VMware Technology Alliance Partner
• VMware certified – StoneGate Virtual IPS & StoneGate Virtual Firewall/VPN
• VMsafe technology partner
• Top 5 VMware virtual appliance – StoneGate Virtual IPS
• RSA Secured
• VPN Consortium Certifications
• IPsec VPN and SSL VPN
Slide 26 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Referencias en el ámbito internacional
Technology
Manufacturing/Logistics
Communications/Utilities
GENOPTIXServices/Healthcare
U.S. State Department
United Nations
Government Legal
Education
Financial
LVMH
Slide 27 Copyright © 2009 Stonesoft Corporation. All rights reserved.
Real-Time Monitoring & Alerts
Copyright © 2009 Stonesoft Corporation. All rights reserved.
Network Security Simplified
top related