Post on 20-Apr-2020
Sécurité et Haute disponibilitéSolutions de Stonesoft
Un Editeur qui vient du froid
n Société fondée en 1990 à Helsinki,Finlande
n Coté en bourse depuis mars 1999n Helsinki Stock Exchange (HEX)
n Chiffre d’Affaires :n 2000 = 60 millions d’euros
n Croissance record en 2000 : +115%n 600 employés, 113 en R&D sécuritén 3 centres de support technique
n Evolutivitén Maîtrise des coûtsn Intégration avec l’existant
n Transparence, Sécurité etPerformances
n Répartition de charge dynamique
n Tolérance aux pannes
n Maintenance en ligne
Les exigences des réseaux enproduction
Notre vision : du besoin à la réalité...
Internet
Réseau Interne
PlusieursISP’s
HA
HA
HA
Solutions Multi-ISP hwredondantes
Solutions hw de répartition
de charge
solutionsHA software
additionnelles
DMZServer
Système deManagement
Modèle courant
*Demilitarized zone
*DMZSystème de
management
Server
Internal network
TechnologieMulti-couches
Modèle StoneGate
Unique solution de sécuritéoffrant haute disponibilité,
haut débit et outils d’administration
avancés de l’Intranet aux connexions ISP
TechnologieMulti-liens
Node 1
Une architecture évolutive
GUI clientGUI client
GUI client
Firewall cluster
Node 2
Database
Logserver
ManagementserverDatabase
Management system
Node 16...
StoneGate Enginen Engine StoneGate livré avec OS pré-packagé
n Basé sur un noyau Linux (CR 2.4.17) Debiann Module Firewall = Module noyau
n Concept de BlackBoxn Aucune configuration de système nécessairen Configuration Locale Impossiblen Chiffrement et signature des fichiers de configuration
n Configuration et Installation centraliséesn Utilisation d’un One Time Password pour l’échange des
certificatsn Toutes communications authentifiées et chiffrées (SSL)
StoneGate Enginen Support Réseau
n Jusqu’à 256 ports Ethernet supportésn Gestion Ethernet, Fast Ethernet et Gigabit Ethernet
n Configuration Minimumn Engine
n Pentium 500 MHzn 128 Mo
n Managern Pentium 500 MHzn 256 MOn 4 Go
Technologie Multi-Couches
Filtre de paquet
Inspection Multi-Couches
Orienté Proxy
Haut débit
Sécurité accrue
Policy Database
Politique de sécurité:une approche objet
StoneGate
Template
Sub Rules / WEB
Sub Rules / MAIL
Sub Rules / DEV
Noyau de lapolitique de
filtrage
Base de règlesutilisateur
Sous Procédure defiltrage
RéférenceHéritage
Source Service ActionDestination Log
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Approche Objet / politique Standard
14 tests before matching !
Now, imagine this single packetgoing through a single rulebasemade of 150 entries instead ofonly 15…
Policy Database
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Optimisation StoneGate
Main Rule Base
2
3
4
2.1
2.2
2.3
7
8
9
10
11
12
5.1
5.2
5.3
5.4
5.5
5.6
3
4
6
7
8
2 if “HTTP” then jump sub-2X
5 if “to-DMZ” then jump sub-5X
Sub-Rule-2X
Sub-Rule-5X
1
Exemple de politique optimisée
Main Rule Base
2.1
2.2
2.3
5.1
5.2
5.3
5.4
5.5
5.6
3
4
6
7
8
2 if “HTTP” then jump sub-2X
5 if “to-DMZ” then jump sub-5X
Sub-Rule-2X
Sub-Rule-5X
From 14 to 7 tests!
Now, imagine a 150 entriesrulebase instead …
Main Rule Base
n Les engines assurent lasynchronisation par le réseauHeartBeat
Clustering Firewall StoneGate
n Adresses IP et MAC identiquessur tous les noeuds
n Chaque paquet n’est traité quepar un unique noeud
Clustering Firewall StoneGate
n 3 configurations possiblesn Unicast MAC: adresse MAC unicast commune à
tous les noeudsn Multicast MAC: adresse MAC multicast commune
à tous les noeudsn Multicast MAC with IGMP: Utilisation du
protocole IGMP pour assurer la cohérence ducluster
Algorithme de Load Balancing
Heartbeat Protocol
Application
Transport
Session
Physical
Presentation
Data Link
1
7
6
5
4
3
2
Network
Load Balance Filter
Application
Transport
Session
Physical
Presentation
Data Link
1
7
6
5
4
3
2
Network
Load Balance Filter
Node 1 Node 2
SRC PortDST PortSRC IPDST IP
Node CapacityNode Load
Node Status Node ID
Heartbeat ProtocolHeartbeat ProtocolHeartbeat ProtocolHeartbeat Protocol
StoneGate™ Load balancing
n Détermination du noeud à la réception du premier paquet.
n Répartition de charge en fonction de l’algorithme de répartition de charge.
n Synchronisation des noeuds via le protocole Heartbeat.
n Répartion dynamique et automatique entre les noeuds.
Node A
212.20.1.0
10.0.0.0
Node B Node C Node D
Control
192.168.1.0
Operative network(s)
Heartbeat/Management network(s)
Load balance filter(s)
StoneGate Multi-Link
n La technologie multi-liens StoneGate permet den Connecter le pare-feu à plusieurs ISPn Répartir la charge entre les ISP connectés sur l´ensemble
du trafic ( tunnels VPN compris)
n Connexions et VPN sortantsn StoneGate choisit toujours la connexion ISP la plus rapide
n Le recours à plusieurs ISP pour les connexions VPNn permet de faire passer le trafic critique des lignes louées
vers Internet en garantissant une disponibilité continued´Internet
MU
LT
I-L
IEN
S
Localnetwork NetLink 1
NetLink 3
InternetNetLink 2
Firewallcluster
Client
Client
Répartition de charge en sortie
Localnetwork NetLink 1
NetLink 3
InternetNetLink 2
Firewallcluster
Client
Client
Meilleure desconnexions
Répartition de charge en sortie
Algorithme Multi-Link
SYN
SYN
SYN
SYN+ACK
SYN+ACK
ACK
ACK
TimeTranslation of
source IP address
Copying packet
Translation of source IP address
RST
Route 2 selected
Source Node Route 1 Route 2
DNS server
NetLink 1
NetLink 3
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
www.stonesoft.com
?
Répartition de charge en entrée
DNS server
NetLink 1
NetLink 3
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
Répartition de charge en entrée
DNS server
NetLink 1
NetLink 3
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
Répartition de charge en entrée
NetLink 3
DNS server
NetLink 1
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
Mise à Jour DNS
Répartition de charge en entrée
NetLink 3
DNS server
NetLink 1
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
www.stonesoft.com
?
Répartition de charge en entrée
DNS server
NetLink 1
InternetNetLink 2
Firewallcluster
Web server 1
Web server 2
Web server 3
Server Pool
Client
Répartition de charge en entrée
NetLink 3
Répartition de charge serveurs
10.1.1.1 10.1.1.2 10.1.1.3 10.1.1.4
100.2.2.1 100.2.2.2 100.2.2.3
Intranet servers at 100.20.20.1
Mail servers at 10.10.10.1
Firewallcluster
Router A
Router B
StoneGate VPN
n Support complet d’IPsecn Algorithmes supportésnAES,nDES, 3DES,nCAST-128,nBlowfish.
Authenfication Utilisateurs
n Utilisateursn Annuaire LDAP intégrén Possibilité d’utiliser des annuaires LDAP
externes
n Authentificationn Support mots de passe LDAPn Support de RADIUS et TACACS+n ( RSA Secured RSA SecureID Ready)
Répartition de charge VPN
Site A
ExternalClusterInterface A
InternalClusterInterface A
InternalClusterInterface B
ExternalClusterInterface B
Site B
Internalnetwork A
Internalnetwork B
Internet
Node A1 Node A2 Node A3 NodeB2
Node B3 Node B4 Node B5Node B1
Répartition de charge VPN
ExternalCluster
Interface A
InternalClusterInterface A
InternalClusterInterface B
ExternalClusterInterface B
Site B
Internalnetwork A
Internalnetwork B
Site A
InternetNetLink A2
NetLink A1 NetLink B3
NetLink B1
NetLink B2
NodeB2
NodeB3
NodeB4
NodeB5
NodeB1
NodeA1
NodeA2
NodeA3
StoneGate Multi-Liens VPN StoneGate
StoneGate Multi-Link VPN solution
Système de gestiondes événements
Administration Graphique unique
Les performances
n1.3 Gbps par noeud StoneGate
nBi-processeur Pentium III
n64-bit 66 MHz PCI bus and NIC’s
n160 Mbps VPN par noeud StoneGate
nBi-processeurh Pentium III
n64-bit 66 MHz PCI bus and NIC’s
nAES encryption
Une solution tout en un...
n Firewall Gigabit natif & VPNn Répartition de chargen Entre les ISPn Entre les engines Firewalln Vers des fermes de serveurs DMZ
n Pas d’OS/Patches/… pour uneintégration et une maintenance simple
n Serveurs standards pour les Engine :n Base Inteln Base Sparc
Instill confidence.Install Stonesoft.