Copyright © 2009 Stonesoft Corporation. All rights reserved. StoneGate Firewall 5.0 Javier Larrea Jaspe Madrid 13/07/2009.

Copyright © 2009 Stonesoft Corporation. All rights reserved.

StoneGate Firewall 5.0

Javier Larrea Jaspe

Madrid 13/07/2009

Slide 2 Copyright © 2009 Stonesoft Corporation. All rights reserved.

Plataforma StoneGate


Arquitectura StoneGate


Plataformas soportadas

• Firewall/VPN gateway• StoneGate appliance• Servidores Intel® x86• VMware Virtual appliance • Sistema operativo fortificado para funcionar como firewall/VPN

• Basado en Debian Linux (kernel 2.6.15)• Sólo incluye los módulos estrictamente necesarios para el funcionamiento de StoneGate FW

• VPN Client para Microsoft® Windows®

• Sistema de gestión basado en Java (SMC)


Multi-Layer Inspection

Protocol Agents• Validan del funcionamiento del protocolo (ej.: las conexiones SIP deben cumplir la RFC 3261)

• Modifican el payload del paquete si es necesario (ej.: NAT en el protocolo H.323)

• Conexiones relacionadas (e.g. FTP data connection)

• Redirección a CIS (e.g. FTP, HTTP, SMTP)

Combina tres tecnologías:Packet filteringStateful inspectionApplication layer inspection (Protocol

Agents)


Deep Packet Inspection

• Funcionalidades de un IPS en el firewall para HTTP,SIP, IMAP, POP y SMTP

• Protocol validation• Misuse detection (basado en firmas)

• HTTPS server/client inspection• Configuración en otro grupo de reglas: Inspection Rules

• Dynamic updates• Firmas presonalizables (ej.: filtrado de URLs)

• Detección de uso de aplicativos


Cluster FW activo-activo

Firewall/VPN Cluster

• Cluster hasta 16 nodos

• Proporciona escalabilidad y HA

• Gestionado como un sólo firewall/VPN

• Soporte plataforma heterogénea

• No se requieren ventanas de mantenimiento en la actualización

Node 1

33%

Node 2

33%

Node 3

33%


Balanceo saliente de ISPs(1/3)

• El cliente inicia la conexión y manda un paquete SYN:

Internet

SYN SYN

SYN• StoneGate replica el paquete SYN a través de todos los ISPs con diferentes direcciones origen NAT

Client

Server

• El servidor responde a los paquetes SYN con un SYN-ACK

• El ISP que entrega el paquete SYN-ACK más rápidamente es el seleccionado

• El FW envia un RST a través del resto de los ISPs

RST SYN-ACK

LAN

SYN


Balanceo saliente de ISPs(2/3)

• El ISP más rápido se cachea por destino

Internet

Client

Server

• Siempre se usará el ISP cacheado para un mismo destino

• Si la conexión no puede progresar por el ISP cacheado se ejecutará el algoritmo RTT de nuevo

LAN

• Otros métodos de balanceo saliente• Ratio• Basado en QoS class• Activo/standby


LAN

Balanceo entrante de ISPs (1/3)

• El cliente hace una consulta al DNS

Internet

Client

Server

• El servidor DNS responde con varias direccione IPs

• El cliente hace una petición al servidor utilizando la ip de uno de los ISPs

• StoneGate hace un NAT de destino

• La paquetes de vuelta los devuelve por el mismo ISP

DNS Server


LAN

Balanceo entrante de ISPs(2/3)

• Si falla uno de los ISPs normalmente el cliente reintenta utilizando otra ip disponible

Internet

Client

Server

DNS Server


Balanceo entrante de ISPs(3/3)

• StoneGate firewall prueba la disponibilidad haciendo tests ICMP

Internet

Client

Server

ping

ping

ping

• Si el ping falla en ISP se considera caido, y el firewall envía una actualización DDNS para eliminar la dirección ip del registro DNS.

DNS Server

DDNS

LAN


Multi-Link VPN

• Multi-Link VPN crea tantos subtúneles como combinaciones posibles de IPSs

• Multi-Link monitoriza el estado y el rendimiento de cada uno de los subtúneles y basandose en ello asigna el tráfico

• Si falla un subtúnel mantiene las sesiones activas asignándolas al resto de los subtúneles

LAN

Internet

LAN

ISP A

ISP B

ISP C

ISP X

ISP Y

• Soporta modo activo/standby

• Cliente VPN• VPNs topologías full mesh, estrella y VPN hub


Balanceo de servidores

• Las conexiones se balancean basándose en la disponibilidad del servidor

• El firewall monitoriza los servidores usando ping o el software Monitoring Agent(*

• Puede ser usado en combinación con Multi-Link

*) Monitoring Agent is available for Windows®, Linux® and SolarisTM


QoS

•Clasificación de tráfico basandose en• DSCP matching • Firewall policy

•QoS policy por (VLAN) interfaz• Prioridades, garantías y límites [% ó kbps]• Marcado DSCP


UTM FW-310, FW-1030 & FW-1060

Modelos con capacidades de antivirus de red


SMC – Gestión centralizada

• Reutilización de objetos, políticas en diferentes engines• Base de datos única• Repositorio central de todas las

configuraciones- políticaqs, configuración de red,…

• Reutilización = menos errores

•Disaster recovery•Backups SMC automatizados•Administración basada en perfiles•Administración simultanea

• Dominios de cliente


Políticas basadas en plantillas

Un cambio en la plantilla afecta a todas las politicas dependientes.

Las reglas de la política principal pueden “ejecutar” subpolíticas

• Mejora el rendimiento y la gestión• Posibilidad de asignar perfiles de

administración permitiendo modificación de reglas a distintos niveles.

Otras herramientas• Contador de hits• Busqueda de objetos• Validación de políticas• Comentarios• Creación de reglas desde los logs

Hierarchical Policies

Gestor de políticas


Objetos Alias

•Toman un valor en función del firewall donde se instala la política • Permite reutilizar la misma política en diferentes firewalls • Compartir parte de la política en una plantilla


• Monitorización de estado a través del GUI en tiempo real

• Estado de los engines, VPNs, servers (información detallada)

• Alertas activas• Estadísticas en tiempo real

• Monitorización vía SNMP• Sistema de escalado de alertas

(smtp, sms, snmp, script)

Monitorización

Detección temprana


• Visión de logs de todos los engines gestionados.

• Filtrado• Exportado de logs• Alto rendimiento• StoneGate Log Views:

• Log Records• Log Statistics• Log Details

• Recursividad en el análisis de los logs

Gestor de logs


Reporting y cumplimiento de regulaciónes

• Informes gráficos predefinidos y personalizables• Automatizables• Registros de auditoría. Informes• Análisis comparativo de políticas


Monitorización en tiempo real

• Monitorización personalizable

• Geolocations

• Web portal


Certificaciones

• Common Criteria Certification EAL 4+

• ICSA Labs Certified IPS• StoneGate IPS – Only production-ready IPS that

has met the latest ICSA certification requirements

• ICSA Labs Certified Firewall

• VMware• VMware Technology Alliance Partner

• VMware certified – StoneGate Virtual IPS & StoneGate Virtual Firewall/VPN

• VMsafe technology partner

• Top 5 VMware virtual appliance – StoneGate Virtual IPS

• RSA Secured

• VPN Consortium Certifications

• IPsec VPN and SSL VPN

https://www.icsalabs.com/icsa/main.php?pid=gddfg




Referencias en el ámbito internacional

Technology

Manufacturing/Logistics

Communications/Utilities

GENOPTIXServices/Healthcare

U.S. State Department

United Nations

Government Legal

Education

Financial

LVMH


Real-Time Monitoring & Alerts

Copyright © 2009 Stonesoft Corporation. All rights reserved.

Network Security Simplified

Copyright © 2009 Stonesoft Corporation. All rights reserved. StoneGate Firewall 5.0 Javier Larrea Jaspe Madrid 13/07/2009.

Documents

stonesoft corporation

inviting stonesoft

overview of stonesoft

local management server

communication server

clusterslog server

management client

log viewingmanagement