Stonesoft StoneGate. Panoramica sulla tecnologia

Transcript

1 Stonesoft StoneGate Panoramica sulla tecnologia Marco Rottigni 5/29/2007

2 Pag. 2 di 21 Sommario Capitolo 1 Introduzione 3 Capitolo 2 Elementi Architetturali Differenzianti 4 StoneGate Firewall e VPN Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. 4 StoneGate IPS Intrusion Detection Avanzata con Risposta Attiva. 12 Il sistema di gestione Stonegate Management Center 14 Capitolo 3 Certificazioni 21 DOCUMENTO AGGIORNATO ALLE VERSIONI: StoneGate Management Center: 4.0 StoneGate Firewall/VPN: 3.0 StoneGate IPS: 4.0

3 Pag. 3 di 21 CAPITOLO 1 INTRODUZIONE Questo documento riporta una panoramica su caratteristiche peculiari della piattaforma StoneGate per la sicurezza logica. L idea è di fornire una base informativa per meglio definire offerte tecnologiche e specifiche di progetto. Le informazioni sono declinate come funzionalità singole della tecnologia StoneGate, parte integrante e fondamento della Stonesoft StoneGate Security Platform. StoneGate Firewall, VPN e IPS, con il relativo StoneGate Management Center costituisce la Stonesoft Network Security Platform, schematizzata di seguito: Tale architettura rappresenta la visione d insieme della tecnologia Stonesoft per la sicurezza logica e la business continuity e vede la soluzione StoneGate declinata in tre tipi di funzionalità operative: Concentratore VPN Firewall, con funzionalità di VPN IPS, con funzionalità di detection precisa, risposta proattiva a supporto dell Incident Management e correlazione intelligente di eventi. Le tre funzioni (con la sola eccezione della VPN, presente anche su Firewall) non sono combinabili in un unica macchina, ma sono implementabili in diversi punti della rete data l elevata specializzazione di ogni componente, sia questo proposto come Software Appliance (StoneGate da installare su un server Intel general purpose senza sistema operativo es. supported_platforms/intel_servers/) o come Appliance ( supported_platforms/fw_vpn_appliances/).

4 Pag. 4 di 21 CAPITOLO 2 ELEMENTI ARCHITETTURALI DIFFERENZIANTI La tecnologia StoneGate presenta molteplici elementi innovativi e differenzianti, di cui questa sezione fornisce una panoramica di massima. StoneGate Firewall e VPN Sicurezza perimetrale logica in alta disponibilità e clustering dinamico. Funzione principe del modulo StoneGate Firewall e VPN è la realizzazione di sistemi di protezione perimetrale logica (firewalling) con possibilità di agire da concentratore di tunnel cifrati VPN. È altresì possibile implementare StoneGate come puro concentratore di tunnel VPN senza funzioni di discriminazione del traffico e firewalling. Gestione completamente centralizzata di interfacce, routing e antispoofing. Spesso le soluzioni di firewalling software presentano carichi di gestione nascosti, quali ad esempio l impossibilità di configurare da interfaccia grafica elementi quali indirizzi MAC e IP di interfaccia oppure instradamenti ed anti-spoofing. Grazie all interazione tra nodo firewall e centro di gestione StoneGate Management Center, diventa possibile gestire in modo grafico, semplificato e con controllo di errore tutti questi parametri in modo centralizzato, inviandoli successivamente al nodo con l operazione di pubblicazione della configurazione. A valle di una pubblicazione di successo, il nodo tenta di raggiungere il sistema di Management con le nuove informazioni di routing e, in caso di impossibilità, esegue il roll-back all ultima configurazione corretta. Questo accorgimento evita di rendere un firewall o firewall cluster irrangiungibile a causa di errori di configurazione umani. Controllo approfondito a livello IP e TCP Caratteristica genetica di StoneGate Firewall e VPN è il controllo del pacchetto IP sia per la coerenza delle opzioni di protocollo che per checksum. Per quanto riguarda il protocollo TCP, StoneGate verifica sia un controllo di handshake sulle regole ove prevista stateful inspection sia un controllo dei flag TCP pertinenti ad ogni stato del protocollo. È prevista anche la gestione della frammentazione di pacchetto, così come servizi generici per tipi di protocolli IP diversi da UDP, TCP, ecc. Scalabilità networking e processing verticale StoneGate, oltre alla scalabilità orizzontale offerta dal clustering con load balancing dinamico, offre una interessante scalabilità orizzontale grazie a: Supporto SMP, che permette l utilizzo efficiente di risorse di processing su macchine multiprocessore Gestione fino a 254 interfacce di rete fisiche Gestione VLAN Tagging 802.1q con definizione fino a 4094 VLAN per interfaccia fisica Supporto multicast IP static routing e policy routing Gestione proxy e static ARP da GUI centralizzata senza necessità di operare su nodo firewall

5 Pag. 5 di 21 Supporto IP Dinamico e DHCP Relay StoneGate supporta IP dinamico su interfaccia di controllo e come VPN endpoint su firewall singolo. L indirizzo IP dinamico può essere non ruotabile ed è utilizzabile in combinazione con la tecnologia Multi-Link. La funzionalità di DHCP Relay, inoltre, permette il forwarding su tunnel VPN o in chiaro di richieste DHCP provenienti da client di una delle reti protette verso un server DHCP. Caratteristiche del cluster di firewall StoneGate include un sistema di clustering di tipo active-active, caratterizzato da elevata scalabilità fino a 16 nodi per cluster logico con failover di sessione trasparente in caso di guasto del nodo gerente una data sessione. Il cluster si presenta in rete come Network Single System Image, cioè in completa trasparenza a livello 2 e 3 del modello di riferimento ISO/OSI con una modalità operativa esclusiva di Stonesoft e chiamata Drop-In Firewall Clustering, senza impatto su dispositivi di switching e routing circostanti il firewall cluster. Ulteriori dettagli su questa modalità sono disponibili all indirizzo La scalabilità elevata presenta particolare interesse nelle funzionalità VPN in quanto si traduce in aggregazione di throughput, grazie alle caratteristiche di load balancing che sfruttano la potenza computazionale delle singole macchine componenti il cluster in modo aggregato. Gestione di più link ad Internet in modalità aggregata con StoneGate Multi-Link StoneGate include la tecnologia Multi-Link per la gestione di più link a Internet in modalità aggregata. Per ogni connessione, StoneGate seleziona automaticamente il link più performante in base alla destinazione da raggiungere. Brevettato in tutto il mondo da Stonesoft, il sistema mantiene la massima trasparenza in rete grazie alla metodologia utilizzata, basata su tecniche di NAT. Ulteriori informazioni su StoneGate Multi-Link sono disponibili all indirizzo Bandwidth Management e QoS StoneGate Firewall include un infrastruttura tecnologica per gestire sia garanzie che limitazioni di banda e Quality of Service secondo gli standard. Grazie ad un elevata granularità di configurazione, è possibile classificare il traffico e distinguere le classi per priorità (1 16), garanzia di banda (bps o %) e/o limite (bps o %). La classificazione è effettuata nella security policy utilizzando uno dei possibili campi di corrispondenza quali IP sorgente, destinazione o servizio. La selezione di classe non è un azione, per cui la stessa classificazione può permettere traffico o inviarlo a VPN o impostare situazioni di banda/priorità per un gruppo di regole a seguire. Una volta classificato il traffico, priorità e garanzie/limiti di banda possono essere impostati singolarmente per ogni classe in una policy QoS, associabile ad un interfaccia del firewall per cui la policy viene applicata. Diverse interfacce possono avere la stessa policy o policy QoS differenti, aumentando ulteriormente la flessibilità di implementazione, soprattutto se utilizzato con configurazioni MultiLink.

6 Pag. 6 di 21 Gestione di Servizi con QoS In ottica di fornire QoS end-to-end, non è sufficiente gestire la banda e la priorità del traffico a livello StoneGate Firewall, ma diventa necessario informare l intera catena di gestione del traffico anche in caso di VPN. StoneGate consente di marcare i pacchetti in uscita utilizzando il campo DSCP (Differentiated Services Codepoint). I valori di tale campo sono definiti opzionalmente per ogni classe nella policy di QoS, consentendo una marcatura differenziata anche per interfaccia. Anche in caso di VPN, quindi, il valore del campo DSCP viene copiato dal pacchetto nell header IPSec permettendo una gestione ottimale dei flussi. Se un dispositivo QoS esterno ha già classificato il traffico e la classificazione è leggibile dal campo DSCP, non c è necessità di rifare la classificazione a livello di Security Policy StoneGate, in quanto i valori del campo DSCP possono essere mappati direttamente alle classi QoS in StoneGate semplicando la gestione. Multi-Layer Inspection per firewalling senza compromessi Altro brevetto internazionale di Stonesoft, il sistema di ispezione del traffico incluso in StoneGate permette la massima flessibilità nella configurazione dei livelli di ispezione grazie alla tecnologia dei Protocol Agents. È l Amministratore del firewall, quindi, a decidere la granularità (a livello della singola regola) con cui ispezionare il traffico a livello applicativo, così come la metodologia da utilizzarsi (packet filter, statefull inspection, controllo applicativo con redirezione a Content Inspection Server esterno) e timeout di protocollo specifici e necessario. I Protocol Agent sono utilizzabili per la gestione efficiente di protocolli complessi quali ad esempio Oracle TNS, H.323, NetBIOS, FTP, SSH ecc. sia per quanto riguarda la presenza di indirizzi IP riportati nel pacchetto dati (es. in caso di NAT) che per quanto attiene a ispezione di opzioni particolari di protocollo (es. handshake SSH, dimensione pacchetto dati Oracle, passive/active FTP, ecc.) Altri Protocol Agents esistono per TCP Proxy, Microsoft Exchange RPC/EPM, TFTP e SIP in aggiunta alla dozzina già esistente. Questa evoluzione tecnologica si traduce in tecnologia abilitante, unitamente alle caratteristiche di Bandwidth Management e QoS descritte più avanti nel documento e a caratteristiche storiche di StoneGate quali MultiLink, per la gestione efficace di una soluzione di traffico voce su rete IP ad altissima resilienza end-to-end. In particolare, il protocollo SIP viene gestito da tre punti di vista: apertura dinamica delle porte necessarie alla comunicazione verifica pattern di conformità del protocollo gestione e conversione indirizzi NAT a livello di payload

7 Pag. 7 di 21 Deep Inspection per HTTP e SIP Inclusa in StoneGate Firewall Engine è la possibilità di ispezionare in profondità già a livello firewall i protocolli HTTP e SIP. La ragione di questa concessione alla purezza di funzione caratterizzante le soluzioni Stonesoft è l utilizzo di HTTP e SIP sempre più frequentemente come canale preferenziale per attacchi ai Web Services o per attacchi di intrusione molto pericolosi. StoneGate Firewall è in grado, per i soli protocolli HTTP e SIP, di eseguire ispezione sintattica del protocollo e/o di riconoscere signature con supporto di Regular Expression e possibilità di personalizzare le signature incluse e la configurazione del controllo sintattico. Aggiornamenti delle signature e dei moduli di inspection utilizzano il processo di Dynamic Update già presente in StoneGate Management Center per StoneGate IPS descritto più avanti nel documento.

8 Pag. 8 di 21 Per quanto concerne l interoperabilità con sistemi di terze parti, l architettura StoneGate utilizza meccanismi di comunicazione aperto e standard che ben consentono l integrazione efficaci di componenti di sicurezza specializzati quali antivirus, URL filtering, content inspection, syslog centralizzati, ecc. Il vantaggio architetturale sta proprio nella virtuale assenza di prerequisiti particolari da ricercare nel Content Inspection Server che si desidera utilizzare, in quanto quest ultimo deve: disporre di un identità IP ascoltare su una porta TCP Data la natura particolarmente standard di questi requisiti, diventa semplice l integrazione di StoneGate (grazie ai Protocol Agent) con prodotti CIS per HTTP, SMTP ed FTP di terze parti, come rappresentato nello schema che segue: Per dare più consistenza a quanto teorizzato, riporto due link a schemi di implementazioni con tecnologie di Content Inspection reali: Interoperabilità tra StoneGate e Trend Micro: CIS_ _online.pdf Interoperabilità tra StoneGate e WebSense: _online.pdf

9 Pag. 9 di 21 Rulebase gerarchica con utilizzo di Alias L ispezione di traffico in StoneGate avviene tramite l utilizzo di una rulebase in modalità gerarchica, che permette di definire rilanci a rulebase separate creando così una struttura ad albero. Ciò porta un vantaggio gestionale grazie all utilizzo di rulebase secondarie richiamabili da più rulebase principali (ad es. rulebase per HTTP o rulebase per traffico DMZ ). Le rulebase principali restano così compatte e definite per macro-regole, con conseguente minor tempo di attraversamento e miglioramento prestazionale. Ulteriore aspetto differenziante di StoneGate è la possibilità di utilizzare Alias nella definizione delle regole di discriminazione traffico e NAT. Questa tecnica permette di concettualizzare gli elementi che compongono le regole (es. $WebServer, $_Rete_Interna), costruendo policy che assumono significato locale in base al firewall su cui vengono pubblicate. Ad esempio, $WebServer potrebbe valere per il firewall A e per il firewall B. L effetto è di consentire una migliore gestione di regole con drastico abbattimento dei Total Cost of Administration (TCA). Gestione NAT Configurato e manutenuto in modo consitente e semplice grazie all interfaccia grafica, il supporto di Network Address Translation in StoneGate è flessibile e completo. Include Network e Port Address Translation, statico e dinamico, con possibilità di gestire NAT di sorgente e destinazione simultaneo con configurazione automatica di proxy ARP relativi. Autenticazione StoneGate supporta sistemi di autenticazione basati su identificativo utente e password con database utenti interno o esterno con sistema LDAP standard e protocolli ldap e ldaps. Sono gestiti sistemi di autenticazione di backend basati su protocolli Radius e Tacacs+. StoneGate è certificato RSA SecureID ready e RSA Keon ready VLAN Tagging StoneGate supporta il protocollo 802.1Q per la definizione di più VLAN sulla stessa interfaccia fisica di rete grazie alla tecnica definita tagging. Il limite è di 4094 tag per interfaccia fisica. Dynamic BlackListing Permette all amministratore del sistema di intervenire tramite GUI per effettuare azioni di blocco o quarantena a tempo di connessioni istantaneo su firewall. Utile per reagire di fronte a emergenze senza tempi (necessariamente più lunghi) di modifica e installazione di policy. La funzionalità di Dinamic BlackList è completamente interoperabile con StoneGate IPS come descritto più avanti nel documento.

10 Pag. 10 di 21 StoneGate come Traffic Load Balancer: la tecnologia Multi-Link Tra le interessanti funzionalità incluse in StoneGate è la possibilità di bilanciare il traffico tra più sistemi di connettività (sia semplici tipo router, sia complessi tipo HSRP, VRRP o BGP) sia in uscita che in entrata, interoperando se desiderato con un sistema DDNS affinchè i servizi esposti per bilanciamento in entrata vengano aggiornati a livello DNS in base alla reale disponibilità. Per quanto concerne il traffico in uscita, il sistema effettua una misurazione costante e dinamica del RTT (Round Trip Time) in base alla destinazione da raggiungere, instradando di conseguenza la connessione sul link empiricamente più performante. Terzo scenario operativo della tecnologia MultiLink, combinabile a piacere con i primi due (inbound e outbound traffic load balancing) riguarda il bilanciamento di sessioni in ingresso verso un pool di server. StoneGate rileva la disponibilità dei singoli server in un gruppo definito sia in base a probing ICMP sia tramite agenti application-agnostic da installare sui diversi server e inclusi in StoneGate, permettendo un bilanciamento delle sessioni con diversa granularità (classe IP chiamante, singolo IP, singola sessione) e garantendo persistenza di sessione salvo indisponibilità del server destinatario. VPN StoneGate implementa un sistema VPN IPSec, la cui interoperabilità è garantita da certificazioni super partes quali VPN Consortium ( a livelli base ed avanzati. Supporta i seguenti algoritmi di sicurezza logica: Cifratura o AES-128 o AES-256 o DES o 3DES o Blowfish o Twofish o Cast-128 Message Digest o MD5 o SHA-1 Gruppi Diffie-Helmann o 1, 2, 5 Consente l utilizzo di pre-shared keys, così come di certificati digitali X.509 con possibilità di utilizzare CA esterne con relative CRL. VPN e Multi-Link Grazie alla combinazione di VPN con l innovativa tecnologia Multi-Link, StoneGate permette la gestione efficiente di più connessioni geografiche di tipo IP, siano esse permanenti (ISP, linee dedicate) o dial-up, eseguendo load balancing a livello di pacchetto. Grazie ad un metodo indipendente dalla classe IP utilizzata su un dato link, è possibile configurare le connessioni geografiche affichè siano permanentemente utilizzate nel load balancing (active-active) o solo se i link primari non siano disponibili (stand-by). Ciò permette di realizzare VPN ad elevatissima disponibilità e con un eccellente grado di sicurezza grazie agli algoritmi di cifratura ed all instradamento su più link (e su più reti) dei pacchetti.

11 Pag. 11 di 21 Lo schema che segue riporta una situazione di esempio: LAN Leased line ISP A ISP B ISP C Internet ISP X ISP Y LAN Security Realizzata tramite l applicativo VPN, incluso in StoneGate per utenze illimitate, permette l estensione della sicurezza logica a livello desktop per l utilizzo locale in azienda o mobile. Alcune tra le caratteristiche più interessanti sono: front-end per autenticazione client VPN, con supporto per autenticazione ibrida o certificate-based con utilizzo di smart card e token USB funzioni di personal firewalling, grazie ad un Active Packet Filter con sensibilità per location. Questo sistema avanzato implementa automaticamente una strategia di packet filtering a seconda della classe IP su cui si trova l utente application control, che consente l identificazione ed il controllo dell attività applicativa sul desktop utente (es. autorizzazione istanza di una applicazione). supporto di Windows Domain Logon su VPN supporto di Virtual IP adapter per utilizzo ad es. in scenari VoIP possibilità di utilizzare VPN in modalità Multi-Link con failover trasparente di connessioni VPN include una funzione che permette il download automatico della nuova topologia VPN in caso sia variata dall ultimo utilizzo.

12 Pag. 12 di 21 StoneGate IPS Intrusion Detection Avanzata con Risposta Attiva. StoneGate IPS è un sistema basato su due entità logiche, Sensor e Analyzer, mirato a rilevare intrusioni e tentativi di attacco informatici secondo il principio della gestione dell incidente tramite informazioni di log e risposte attive quali ad esempio TCP Reset della connessione incriminata. Obbiettivo principe della soluzione è la minimizzazione di una serie di eventi catalogati come falsi positivi e falsi negativi tramite i seguenti criteri: Metodi di inspection multipli: o Fingerprinting con supporto di Regular Expression o Validazione protocollo o Controllo anomalie protocollo con istanze multiple Correlazione eventi nel tempo (sequenze) e nello spazio (gruppi) Controllo tecniche di IDS evasion con considerazione delle connessioni e non dei soli pacchetti In seguito a un rilevamento, il sistema ha diversi metodi di risposta, quali: Log Alert, con escalation progressiva e rule-based Record connection per analisi forense IP Blacklist (vedi descrizione più avanti nel capitolo) TCP Reset Drop (modalità inline, prevista in StoneGate IPS 2.0) La soluzione è basata sull interazione di due componenti logici lato engine : uno o più IPS Sensor che riportano a un Analyzer, il quale può a sua volta riportare a successivi analyzer prima di inviare le informazioni correlate allo StoneGate Management Center. Di seguito riporto uno schema funzionale della logica espressa. Le tecniche di implementazione dei sensori possono essere tramite Span Port o Network Wire Tap, con possibilità di aggregazione di Sensori per aumentare il throughput della funzione di capturing.

13 Pag. 13 di 21 StoneGate IPS supporta anche la modalità inline di deployment; lo scenario possibile prevede un implementazione di StoneGate IPS Sensor (o Combo se l appliance include anche StoneGate IPS Analyzer) in transparent mode ad interrompere fisicamente due segmenti di rete. A fronte di una detection di successo, l azione intrapresa può essere attiva nell interrompere (silenziosamente o meno) la connessione. A seconda dell appliance hardware il sistema può supportare scenari di tipo fail-open che garantiscano il flusso di traffico anche con IPS offline o disabilitato grazie a schede con continuità metallica. É infine disponibile la modalità di simulazione per verificare le azioni di drop senza effetti sul traffico, che quindi non viene bloccato in nessun caso in quanto l eventuale azione di blocco occorsa viene soltanto inviata a log per informazione dell Amministratore. Il sistema viene aggiornato nei suoi componenti (moduli di ispezione protocollo, fingerprint, system policy, ecc.) tramite download ed importazione cifrato di Dynamic Update Packages dal sito Stonesoft (operazione completamente automatizzabile). Interazione con IP Blacklist tra StoneGate IPS e StoneGate Firewall Grazie all elevata interoperabilità dei componenti la StoneGate Network Security Platform, è possibile un interazione tra StoneGate Firewall ed IPS per massimizzare la risposta attiva automatizzando la funzionalità di BlackListing; ciò permette a StoneGate IPS Analyzer di popolare, a fronte di un attacco rilevato da sonde StoneGate IPS Sensor, una blacklist dinamicamente considerata da una o più interfacce di uno o più StoneGate Firewall per bloccare temporaneamente o definitivamente fino a diversa istruzione il traffico considerato illecito. Esiste la possibilità, comunque, di generare WhiteList che, avendo priorità sulle BlackList, impediscono che elementi legittimi ed importanti vengano inseriti nella BlackList (per esempio per errore di configurazione). Richieste di blacklist, provenienti da altri StoneGate Sensor possono essere gestite in Novità 4.0 totale autonomia da StoneGate Sensor senza l ausilio di StoneGate Firewall Engine. Novità 4.0 StoneGate IPS include anche una sofisticata protezione da attacchi di flood tipo: Rate-based DoS SYN flood protection UDP flood protection Non rate based DoS Attacchi DoS basati su Illegal input : Bonk, Jolt, Land, Nestea, Newtear, Syndrop, Teardrop In caso di attacco di tipo SYN Flood, StoneGate IPS implementa una reazione proxy-like che aumenta il livello di protezione dei server nei segmenti interni. StoneGate IPS Sensor è in grado di rilevare con estrema efficacia azioni di portscanning, anche quando perpetrate con modalità slow-scan. Un altra funzionalità, importante dal punto di vista dell analisi e del TCA, permette di verificare istantaneamente come un evento di interesse (log, allarme) che appare sul Log Browser per StoneGate IPS venga visto dal punto di vista di StoneGate Firewall.

14 Pag. 14 di 21 Il sistema di gestione Stonegate Management Center Novità 4.0 StoneGate viene gestito tramite un sistema centralizzato che svolge funzioni di Management, Log e allarmistica. StoneGate Management Center, licenziato per numero di cluster gestiti, è scalabile, multipiattaforma e consente un controllo completo di tutte le funzioni di Firewall, VPN e IPS. Una GUI rende l amministrazione del firewall cluster accessibile in modo distribuito e con più livelli di accesso, permettendo l autenticazione dei profili di Administrator anche tramite sistemi RADIUS esterni. La gestione dei permessi di amministrazione permette un estrema granularità tramite un controllo a matrice basato su diversi profili, i quali possono operare su firewall e su policy su cui abbiano a loro volta i diritti. Un esempio della definizione del ruolo di gestore è raffigurato nell immagine a lato. L assegnazione dei diritti al ruolo di gestore viene controllata in combinazione con una lista di accesso alle risorse che determina su quali elementi il gestore può esercitare i diritti assegnati come raffigurato di seguito: L estrema flessibilità e semplicità d uso della GUI, navigabile a finestre o a sezioni rende molto semplice configurare funzionalità quali routing, antispoofing, NAT e regole di accesso, il tutto tramite un interfaccia intuitiva e consistente.

15 Pag. 15 di 21 Il sistema di gestione di StoneGate a tre livelli è rappresentato dallo schema seguente: Novità 4.0 L interoperabilità con sistemi esterni del sistema di gestione è garantita da funzioni quali rilancio anche filtrato dello stream di log a sistemi syslogd centralizzati o esportazione anche real-time verso formati XML e CSV. Ciò rende possibile l invio strutturato ed automatizzabile di dati anche filtrati a sistemi esterni quali Tivoli, Syslog, ecc. Sia il sistema di Alerting che i nodi sono gestibili tramite SNMP, configurato dall interfaccia grafica in modo completo e flessibile. Sia StoneGate Management Server che Log Server sono clusterizzabili in logica hotstandby per garantire l alta disponibilità del sistema di gestione. Diventa quindi possibile definire sistemi secondari sia per StoneGate Management Server (con o senza replica automatica delle configurazioni) sia Log Server aggiuntivi che agiscano da canale alternativo a cui inviare i log in caso di indisponibilità del Log Server Primario.

16 Pag. 16 di 21 Caratteristiche interessanti di StoneGate Management Center sono: Log Server ad elevate prestazioni con filtro dinamico avanzato e possibilità di redirezione traffico di Log a syslogd centralizzato Sistema realtime di monitoraggio di Firewall, IPS, gruppi e VPN che consente di visualizzare un grafico degli elementi statistici (carico, pacchetti per interfaccia, connessioni scartate per sorgente, ecc.) per cui si desidera attivare il monitoraggio. Il sistema permette anche di avere una visione in tempo reale dello stato della minaccia grazie alla visione di sintesi degli allarmi attivi. Un esempio nella schermata che segue: Novità 4.0 Grazie allo strumento Log Data Manager è possibile gestire dimensioni e tipo dei log in linea ed in archivi secondari per mantenere log e allarmi a livelli fruibili rapidamente. Operazioni quali rotazione dei log secondo criteri temporali relativi e assoluti, esportazione in formati aperti, redirezione a syslogd esterno, cancellazione o archiviazione selettiva sono pianificabili ed automatizzabili con estrema efficacia. I log sono memorizzati in formato compresso per minimizzare lo spazio occupato massimizzando le prestazioni del Log Server sia nella visualizzazione che nelle interrogazioni degli archivi storici.

17 Pag. 17 di 21 Sistema di Reporting Integrato completamente personalizzabile con possibilità di automazione dei task, comparazione di tendenza ed esportazione dei report in formato tabellare testuale o PDF. Con l evoluzione di StoneGate Management Center il Reporting Manager si arricchisce di nuovi elementi di aggregazione dei dati, importanti per generare report di tipo statistico. È anche disponibile una funzione per inviare i report in PDF direttamente via e- mail come attachment. Esempio di un report con layout personalizzato. Visualizzazione grafica della configurazione, grazie al Visual Diagram. Questa interessante caratteristica consente di creare istantaneamente una documentazione grafica attiva della configurazione implementata, permettendo operazioni di esportazione in formati grafici e PDF dello schema. Ulteriori dettagli su Visual Diagram sono disponibili all indirizzo out_editor.html Il Visual Diagram è anche uno strumento di monitoraggio attivo dei componenti StoneGate dell architettura di sicurezza logica. La figura che segue riporta un esempio di schema attivo in cui lo stato dei nodi dei cluster configurati è visualizzato sotto forma di colore di sfondo: Lo stesso strumento è utilizzabile per effettuare modifiche alla configurazione, essendo gli elementi visualizzati interattivi e dotati di menù contestuale.

18 Pag. 18 di 21 Unified Data Browser: log, alert e audit in una visione completa ed interoperabile. StoneGate Management Center implementa un nuovo e potente visualizzatore di informazioni, lo Unified Data Browser. Grazie ad un interfaccia semplice ma molto flessibile e potente, diventa possibile visualizzare in un unica soluzione log, allarmi e messaggi di auditing per una completa tracciabilità delle azioni degli engine operativi (Firewall, VPN, IPS) e dell attività degli amministratori di sistema. Sono possibili anche operazioni di filtro istantaneo, di correlazione tra log ad es. di sensori StoneGate IPS con log di StoneGate Firewall, di esportazione dati in formati aperti (CSV, XML, PDF) e di parzializzazione delle informazioni visualizzate in logica di massimizzazione della fruibilità delle informazioni. La schermata che segue riporta il nuovo Unified Data Browser: Policy Based Incident Manager. Basato sul nuovo componente Alert Server incluso in StoneGate Management Center, il sistema permette la gestione di allarmistica (popup, script, trap SNMP, SMTP e SMS) con escalation progressiva e log esteso secondo canoni di: o Incident escalation o Alert brokering o Gestione del momento dell allarme con policy basate su ora e giorno della settimana. Dettagli sul sistema sono disponibili all indirizzo tion.html

19 Pag. 19 di 21 Incident Case Management StoneGate Management Center include un infrastruttura tecnologica per la gestione e la tracciabilità degli Incident Case. Enorme supporto all Incident Process Management aziendale, l Incident Case Management incluso in SMC permette il coordinamento di tutte le informazioni relative ad un dato evento di sicurezza così come la gestione degli elementi interessati dall evento e la completa tracciabilità delle azioni effettuate, garantendo aderenza alle più stringenti norme in materia di auditing e gestione di incidenti di sicurezza grazie a sofisticati e flessibili browser dedicati. Un esempio è riportato nella figura che segue: Scheduler e infrastruttura per operazioni massive e gestioni di grandi installazioni Il sistema presenta anche una serie di funzionalità pensate per la gestione di una base installata ampia e distribuita geograficamente. Attività quali Backup di Management, recupero informazioni di ambiente su singoli firewall o gruppi, pubblicazioni o riapplicazioni di policy, remote upgrade (con trasferimento upgrade separato da applicazioni) possono essere pianificate ed eseguite, con controllo e gestione di situazioni di errore, sia su singoli engine che su gruppi di engine. L effetto nel complesso è di una drastica riduzione del costo di amministrazione, delle risorse e del tempo necessario a compiere tali operazioni al crescere della dimensione e della complessità della configurazione.

20 Pag. 20 di 21 Monitoring Componenti licenziati a parte, pensati per la presentazione distribuita di log e allarmi, sono Monitoring Server e Monitoring. Si tratta di un sistema software che permette, grazie ad una GUI leggera, la visualizzazione di log rilevanti per un dato profilo di utenza. Il campo di impiego è notevole: dall azienda che vuole dare visibilità ai dipartimenti solo dei propri log, a strutture che fanno della Sicurezza Gestita il proprio core business, e società di servizi che gestiscono la sicurezza in outsourcing di propri i, volendo comunque dare a questi ultimi visibilità del traffico tracciato dal sistema StoneGate Firewall/VPN/IPS. Lo schema operativo è il seguente: Customer 1 Customer 2 Customer 3 Customer 4 FW/Cluster 1 Service Provider Log Log Log Log Log Log Monitoring Server Monitoring Server Log Auth Logserver Logserver Managementserver Log Log Log FW/Cluster 2 Admin FW/Cluster 3 FW/Cluster 4 Monitoring Server può essere installato sulla stessa macchina utilizzata per Management o Log Server oppure su una macchina dedicata a tale funzione, Monitoring Server agisce da communication server tra Management/Log Servers e i Monitoring. Monitoring, componente scaricabile da Web Server, si college al Monitoring Server fornendo credenziali che vengono autenticate e controllate in comunicazione con il Management Server (username/password oppure tramite autenticazione RADIUS). Il filtro dei Log da visualizzare viene effettuato sul Monitoring Server in base al profile di connessione. I log visualizzabili sono sia quelli in tempo reale che lo storico, con possibilità di applicare filtri di visualizzazione temporanei. Completa il quadro un sistema di Remote Upgrade, che permette l aggiornamento di un cluster StoneGate da remoto senza necessità alcuna di presidio locale, grazie ad un controllo di condizioni di errore completo ed efficiente con funzionalità di rollback trasparente. Novità 4.0 StoneGate Management Center permette anche la configurazione automatica sia dell aggiornamento dinamico degli elementi di configurazione che delle nuove versioni di engine (IPS e Firewall) per effettuare il remote upgrade, lasciando agli amministratori il completo controllo del grado di automazione nella manutenzione dell intero sistema. Tutte le licenze sono gestite centralmente da StoneGate tramite License Manager, con la possibilità di effettuare l assegnazione sia per IP che per StoneGate Management Server. Il License Manager consente anche il controllo dello stato del contratto di Maintenance and Support e relativa scadenza. Il sistema è concepito per abbattere drasticamente due dei costi nascosti più importanti: Total Cost of Ownership e Total Cost of Administration della soluzione.