phion netfence Security Gateway podstawowe elementy phion netfence jest nowoczesnym systemem firewallowym przeznaczonym do kompleksowej ochrony sieci oraz jej zasobów. Jego podstawowymi elementami są firewall oraz serwer VPN. phion netfence to kompletne rozwiązanie programowe, w którego skład poza samym firewallem oraz serwerem VPN wchodzą także inne serwisy, takie jak Mail Gateway, serwer HTTP Proxy, DNS Server oraz DHCP Server. Realizuje on także funkcje wykrywania włamań (Intrusion Prevention Service), ochrony antyspamowej dla poczty, filtra URL oraz kontroli przepływu danych. System wyposażony jest we własny, specjalnie to tego celu stworzony system operacyjny oparty na linuxie. Najbardziej charakterystyczną cechą systemu phion netfence jest jego centralny system zarządzania, umożliwiający niezwykle efektywną administrację nawet setkami firewalli rozproszonymi po całym świecie przez jednego administratora. Niemniej ważne są wyjątkowo dokładne i rozbudowane systemy dzienników zdarzeń i statystyk dających możliwość podglądania pracy firewalla w czasie rzeczywistym. phion netfence firewall Podstawowym elementem (tzw. serwisem) phion netfence Security Gateway jest firewall, którego zadaniem jest blokowanie niepożądanego ruchu w sieci, lub też bardziej ogólnie, zarządzanie ruchem w sieci. W zależności od reguł zdefiniowanych przez administratora na firewallu ruch sieciowy z określonych adresów lub podsieci może być w całości przepuszczany, w całości blokowany, blokowany tylko w określonych przedziałach czasowych lub też przekierowywany na inne adresy lub podsieci. Firma phion Information Technologies GmbH zastosowała w swoim firewallu innowacyjną technologię Transparent Application Awareness, będącą kombinacją metody filtrowania pakietów (packet filtering) oraz filtrowania aplikacji (application gateway). Pozwala to z jednej strony uzyskać znakomitą szybkość pracy firewalla, z drugiej strony zapewnia znaczną jego elastyczność. W zależności od potrzeb phion netfence może pracować w trybie Transparent Application Proxy (TAP) lub Application Controlled Packet Forwarding (ACPF). Podstawowe cechy charakteryzujące phion netfence firewall to: - zastosowanie nowatorskiej technologii Transparent Application Awareness, - obsługa sieci gigabitowych, - własny system operacyjny oparty na linuxie, - pełna przezroczystość dla użytkowników, - obsługa protokołów TCP, UDP, ICMP, IGMP, - obsługa multicastingu, - zabezpieczenie przed atakami DoS i DDoS, - ochrona przez atakami typu: IP spoofing, SYN attacks, SYN flooding oraz flood ping, - możliwość dynamicznego definiowania reguł firewalla reguły są automatycznie wyłączane po określonym czasie, 1
- tester reguł umożliwiający sprawdzenie działania zestawu reguł przed ich ostatecznym aktywowaniem, - możliwości kaskadowego łączenia kilku firewalli, - możliwość śledzenia ruchu przechodzącego przez firewall (sniffer), - pełna zdalna administracja za pośrednictwem interfejsu dostępnego spod Windows, - czas pełnej instalacji lub odtworzenia systemu po awarii w granicach 5 minut, - rozbudowany system dzienników i statystyk generowanych w czasie rzeczywistym, dających pełną informację o pracy systemu - dostępność w wersji High Availability (transparent failover). phion netfence firewall wyposażony jest także w funkcję Intrusion Prevention Service pozwalającą mu na identyfikację i odpieranie ewentualnych ataków. Ataki identyfikowane są na podstawie charakterystycznych dla nich sygnatur, których lista w miarę potrzeb może być uzupełniana. W przypadku wykrycia ataku, jego źródło jest automatycznie blokowane prze firewall a informacja o wykrytym zagrożeniu zapisywana jest w dziennikach zdarzeń. Skanowanie w poszukiwaniu sygnatur poszczególnych ataków może odbywać się tylko dla ruchu przychodzącego z zewnątrz lub też w obu kierunkach (dla ruchu przychodzącego i wychodzącego). phion netfence VPN Server Kolejnym po firewallu najistotniejszym elementem (serwisem) phion netfence Security Gateway jest VPN Server, umożliwiający budowę bezpiecznych połączeń pomiędzy poszczególnymi fragmentami sieci korporacyjnej lub pomiędzy zdalnymi użytkownikami, pracującymi w domu lub w terenie, i siecią korporacyjną. Połączenia te określane są jako kanały VPN (Virtual Private Networks). Ponieważ wszystkie informacje przesyłane za pośrednictwem kanału VPN są szyfrowane, umożliwia on bezpieczną komunikację i bezpieczne przesyłanie poufnych danych za pośrednictwem tak niepewnego medium jak Internet. Podstawowe cech charakteryzujące phion netfence VPN Server to: - szyfrowanie kanału przy użyciu algorytmów AES, 3DES, DES, Blowfish, CAST, - tryby pracy TCP, UDP, UDP&TCP, ESP, - bezpieczna autentykacja przy użyciu RSA 2048 i certyfikatów x.509 oraz opcjonalnie karty chipowej, - przepustowość kanału VPN bez sprzętowego akceleratora powyżej 100 Mb/s, - pełna zgodność ze standardem IPSec, - wbudowane własne Certification Authority, - klient VPN dostępny dla Windows NT/2000/XP i Linux z możliwością definiowania profili, - personal firewall, - pełna konfiguracja klienta VPN od strony serwera, - monitoring połączeń VPN w czasie rzeczywistym, - rozbudowany system dzienników zdarzeń i statystyk, - pełna zdalna administracja za pośrednictwem interfejsu dostępnego spod Windows, - dostępność w wersji High Availability. 2
phion netfence Mail Gateway phion netfence Mail Gateway jest kompletną bramą pocztową obsługującą ruch SMTP. Podobnie jak wszystkie pozostałe serwisy phion netfence Mail Gateway może być centralnie konfigurowana i zarządzana za pośrednictwem Management Center. Dostępny jest także pełny zestaw dzienników zdarzeń oraz statystyk generowanych w czasie rzeczywistym, pozwalających śledzić jej pracę. phion netfence Mail Gateway przy współpracy ze skanerem antywirusowym TREND MICRO InterScan VirusWall lub NOD32 Linux Mail Server może zapewniać ochronę poczty SMTP przed wirusami. Oferuje także możliwość filtrowania SPAM-u przy użyciu wbudowanego filtra heurystycznego bazującego na SpamAssassin TM. phion netfence HTTP Proxy Server phion netfence HTTP Proxy jest w pełni funkcjonalnym serwerem proxy bazującym na systemie squid, umożliwiającym cachowanie danych oraz autentykację użytkowników. Dzięki możliwości pełnej integracji phion netfence HTTP Proxy z filtrem ULR Cobion Orange Filter Service możliwe jest filtrowanie dostępu do stron Internetowych indywidualnie dla poszczególnych użytkowników lub dla grup użytkowników. Cobion Orange Filter Service obejmuje ponad 2.6 miliardów adresów URL podzielonych na 58 kategorii oraz daje możliwość ustawienia White List i Black List. Podobnie jak wszystkie pozostałe serwisy phion netfence HTTP Poxy oraz zintegrowany z nim filtr URL mogą być centralnie konfigurowane i zarządzane za pośrednictwem Management Center. Dostępny jest także pełny zestaw dzienników zdarzeń oraz statystyk generowanych w czasie rzeczywistym, pozwalających śledzić pracę zarówno serwera proxy, jaki i filtra URL. phion netfence DNS Server phion netfence DNS Server jest w pełni funkcjonalnym serwerem DNS bazującym na systemie BIND. Podobnie jak wszystkie pozostałe serwisy phion netfence DNS Server może być centralnie konfigurowany i zarządzany za pośrednictwem Management Center. Dostępny jest także pełny zestaw dzienników zdarzeń oraz statystyk generowanych w czasie rzeczywistym, pozwalających śledzić jego pracę. phion netfence DHCP Server phion netfence Security Gateway wyposażony jest w DHCP Server oraz DHCP Relay Agent umożliwiające dynamiczne przyznawanie adresów IP, także w sieciach z segmentacją. Podobnie jak wszystkie pozostałe serwisy może być centralnie konfigurowany i zarządzany za pośrednictwem Management Center. Dostępny jest pełny zestaw dzienników zdarzeń oraz statystyk generowanych w czasie rzeczywistym, pozwalających śledzić jego pracę. phion Personal Firewall phion Personal Firewall jest programem spełniającym w wymiarze pojedynczego komputera (stacji roboczej) funkcję identyczną do tej, którą spełnia phion netfence firewall w wymiarze całej sieci korporacyjnej. Jego zadaniem jest kontrolowanie ruchu wychodzącego i przychodzącego na stację roboczą i blokowanie lub przepuszczanie połączeń w zależności od ustawionych reguł. Reguły mogą być definiowane bezpośrednio dla ruchu przychodzącego i wychodzącego lub też dla poszczególnych aplikacji. Pojawienie się połączeń, które są nieznane firewallowi może być sygnalizowane 3
pojawieniem się odpowiedniego okna dialogowego, gdzie użytkownik może podjąć decyzję o ich przepuszczeniu lub odrzuceniu. phion Personal Firewall spełnia bardzo istotną rolę w zakresie ochrony stacji roboczych zdalnie łączących się z siecią korporacyjną poprzez kanał VPN. Podłączenie się poprzez kanał VPN stacji roboczej, która nie jest chroniona stanowi poważne zagrożenie dla całej sieci korporacyjnej, gdyż może się ona stać pośrednim ogniwem wykorzystanym przez hackera do ataku na całą sieć. Aby takiej sytuacji uniknąć, w momencie otwierania kanału VPN pomiędzy zdalnym komputerem a siecią korporacyjną w phion Personal Firewall może zostać zdalnie wymuszona specjalna konfiguracja, definiowana przez administratora sieci. Taka specjalna konfiguracja może np. wymuszać odcięcie wszystkich innych połączeń sieciowych w trakcie aktywności kanału VPN z macierzystą siecią korporacyjną. 4
phion netfence Security Gateway charakterystyka systemu Bezpieczeństwo. phion netfence Security Gateway jest rozwiązaniem programowym, które obejmuje zarówno serwisy takie jak firewall, VPN, Mail Gateway, HTTP Proxy, DNS, DHCP i inne, jak również sam system operacyjny, na którym pracują. Dzięki takiemu połączeniu administrator nie musi troszczyć się o prawidłową konfigurację systemu operacyjnego, co jest z reguły zadaniem trudnym i czasochłonnym. Uniezależnienie bezpieczeństwa firewalla i innych serwisów od prawidłowego skonfigurowania systemu operacyjnego pozwala uzyskać bezpieczeństwo całego systemu porównywalne z bezpieczeństwem rozwiązań sprzętowych. Elastyczność. phion netfence Security Gateway charakteryzuje się bardzo dużą elastycznością właściwą rozwiązaniom programowym. System może zostać zainstalowany praktycznie na dowolnym komputerze klasy PC z procesorem Pentium. Jeżeli komputer, na którym został zainstalowany, ulegnie uszkodzeniu lub z czasem okaże się zbyt wolny, można zastąpić go dowolnym innym. Proces przeniesienia istniejącego w pełni skonfigurowanego systemu phion netfence Security Gateway z dotychczasowego komputera na inny nie zajmuje więcej niż 5 minut (dzięki specjalnej procedurze archiwizacji i odtwarzania konfiguracji). phion netfence Security Gateway daje także nieograniczone możliwości rozbudowy lub zwiększenia wydajności komputera, na którym pracuje. Są one zależne jedynie od fizycznych możliwości rozbudowy danej maszyny - sam phion netfence nie narzuca w tej kwestii żadnych ograniczeń. Istotną cechą jest możliwość rozdzielenia poszczególnych serwisów phion netfence Security Gateway na oddzielne maszyny. W zależności od potrzeb wszystkie serwisy tj. firewall, VPN, Mail Gateway, HTTP Proxy, DNS i DHCP mogą zostać zainstalowane na jednym komputerze lub też zostać rozdzielone na dwa lub więcej, co pozwala uzyskać znacznie lepszą wydajność. Skalowalność. phion netfence Security Gateway jest systemem bardzo łatwo skalowalnym. Pierwotnie został stworzony do ochrony rozległych sieci korporacyjnych z wieloma oddziałami rozrzuconymi po całym świecie. Obecnie dostępne są jednak także wersje z mniejszą ilością licencji znakomicie nadające się do ochrony sieci średnich i małych. System phion netfence Security Gateway może rosnąć wraz ze wzrostem i rozbudową sieci. Rozbudowa systemu ochrony polega w tym przypadku głównie na rozszerzeniu istniejących już licencji na większą liczbę adresów IP lub na dokupieniu nowych licencji produkt zawsze pozostaje ten sam. Dzięki temu inwestycje poczynione wcześniej, gdy sieć była niewielka, nigdy nie są tracone. Przy rozbudowie sieci ważny jest również fakt, że phion netfence zawsze dostarczany jest w pełnej wersji wraz ze wszystkimi oferowanymi serwisami. Poza modułem firewall i VPN dostarczany jest Mail Gateway, HTTP Proxy, DNS, DHCP, moduł administracyjny oraz pełny zestaw raportów i 5
statystyk - rozszerzenie funkcjonalności sieci o te serwisy nie wiąże się z żadnymi dodatkowymi kosztami. Zarządzanie. Jedną z najistotniejszych cech phion netfence wyróżniających go na tle innych rozwiązań firewallowych jest centralny system zarządzania. Standardowo phion netfence wyposażony jest w moduł administracyjny, pozwalający na jego pełną konfigurację oraz administrację. Opcjonalnie dostępna jest również centralna konsola administracyjna phion netfence Management Center umożliwiająca centralną, zdalną administrację setkami firewalli rozrzuconymi po całym świecie. Wizualizacja. phion netfence Security Gateway posiada bogaty system dzienników zdarzeń, raportów, powiadomień oraz statystyk generowanych w czasie rzeczywistym umożliwiających śledzenie pracy wszystkich jego serwisów (firewalla, VPN i innych), ich wydajności oraz sygnalizujących ewentualne nieprawidłowości. Dzięki bardzo szczegółowym i rozbudowanym statystykom możliwe jest między innymi jednoznaczne określenie poziomu wykorzystania wybranych zasobów sieci przez poszczególnych użytkowników określenie kto w jakim czasie wygenerował w sieci ruch na określonym poziomie. Istotne jest, że w przypadku phion netfence możliwe jest śledzenie pracy firewalla i serwera VPN w czasie rzeczywistym, co znacznie ułatwia wychwytywanie ewentualnych nieprawidłowości i problemów. 6
phion netfence koncepcja systemu phion netfence Security Gateway jest rozwiązaniem czysto programowym, odróżniającym się jednak w znacznym stopniu od innych tego typu rozwiązań dostępnych na rynku. Firma phion Information Technologies GmbH dostarcza nie tylko oprogramowanie zapewniające określoną usługę (serwis) jak firewall, VPN czy DNS, ale także własny system operacyjny, na którym te usługi pracują. oprogramowanie system operacyjny phion netfence oprogramowanie system operacyjny Check Point CISCO sprzęt sprzęt Rys. 1. Schemat przedstawiający różnice w koncepcji realizacji systemów Check Point, CISCO i phion netfence. Różnice w podejściu do koncepcji realizacji systemu firewallowego ilustruje rys.1. Do tej pory na rynku popularne są dwa typy rozwiązań: rozwiązania sprzętowe jak np. firewalle firmy CISCO oraz rozwiązania programowe jak np. firewalle firmy Check Point. Połączenie w phion netfence oprogramowania realizującego funkcję firewalla (oraz innych usług) z systemem operacyjnym pozwoliło stworzyć produkt, który posiada zalety rozwiązania programowego i sprzętowego a jednocześnie jest pozbawiony wad typowych dla każdego z tych rozwiązań. Charakteryzuje się bardzo dobrą elastycznością i skalowalnością, jaką normalnie zapewnia tylko rozwiązanie programowe, przy jednoczesnym zachowaniu wysokiej stabilności i bezpieczeństwa, jakie normalnie zapewniają wyłącznie rozwiązania sprzętowe. phion netfence budowa Logiczna struktura phion netfence Security Gateway zbudowana jest z trzech warstw, z których każda ma swoje ściśle zdefiniowane zadania. Podział na logiczne warstwy ma bezpośrednie przełożenie na jego funkcjonalność, możliwości administracyjne oraz bezpieczeństwo. Pierwszą, podstawową warstwę stanowi tzw. BOX, na który składa się fizyczny komputer PC, na którym phion netfence jest zainstalowany, system operacyjny oraz jeden adres IP wykorzystywany do administracji. System operacyjny phion netfence został stworzony przez firmę phion Information 7
Technologies GmbH na bazie linuxa. Jest to mocno okrojona i w taki sposób zmodyfikowana wersja linuxa, aby uzyskać żądany dla systemu firewallowego poziom bezpieczeństwa i wydajności. Kolejną warstwą jest SERVER zapewniający infrastrukturę sieciową dla pracujących na nim serwisów takich jak firewall, serwer VPN czy Mail Gateway. Ostatnią, trzecią warstwę stanowią serwisy (SERVICES), czyli firewall, serwer VPN, Mail Gateway, HTTP Proxy, DNS i inne. firewall VPN server Mail Gateway DNS HTTP Proxy SERWER BOX Rys. 2. Struktura logiczna phion netfence. 8
phion netfence produkty phion Information Technologies GmbH oferuje kilka produktów, opisanych krótko poniżej. Wszystkie produkty licencjonowane są w zależności od liczby adresów IP korzystających z firewalla (tzn. adresy IP takich urządzeń jak np. drukarki nie są liczone). phion netfence Portal Podstawowy produkt obejmujący wszystkie serwisy jak firewall, VPN, Mail Gateway, HTTP Proxy, DNS, DHCP oraz moduł administracyjny. Występuje w wersji dla 50, 100, 250 lub nielimitowanej liczby adresów IP. Dostępna jest wersja High Availability. phion netfence Connect Produkt obejmujący firewall, VPN, HTTP Proxy, DHCP oraz moduł administracyjny. Przeznaczony do ochrony niewielkich sieci w oddziałach firmy. Dostępny w wersji dla 10 i 25 adresów IP. Nie występuje w wersji High Availability. phion netfence Monitor Produkt zawierający tylko sam firewall oraz moduł administracyjny. Stosowany przy segmentacji sieci. Występuje wyłącznie w wersji dla nielimitowanej liczby adresów IP. Dostępny w wersji High Availability. phion netfence Application Gate Produkt obejmujący serwisy Mail Gateway, HTTP Proxy, DNS, DHCP oraz moduł administracyjny. Występuje wyłącznie w wersji dla nielimitowanej liczby adresów IP. Dostępny w wersji High Availability. phion netfence VPN Clients Produkt zawiera dodatkowych klientów VPN (produkty phion netfence Protal oraz phion netfence Connect zawierają tylko ograniczoną liczbę klientów VPN). Dostępny w wersji obejmującej 5, 50, 100, 500 lub 1000 dodatkowych klientów VPN na platformę Windows lub Linux. phion netfence Managenet Center Centralna konsola administracyjna. Występuje w trzech wersjach: 1. wersja podstawowej Entry Edition 2. wersja dla sieci korporacyjnych Enterprice Edition 3. dla providerów usług Service Provider Edition. Managenet Center pozwala na pełną zdalną konfigurację i administrację dowolną liczbą produktów phion netfence (firewalli, serwerów VPN, Mail Gateway, DNS oraz HTTP Proxy). 9
DAGMA sp.z.o.o. jest wyłącznym dystrybutorem systemu phion netfence w Polsce. Informacje dotyczące produktu phion netfence, firmy DAGMA sp.z o.o. oraz firmy phion Information Technologies GmbH dostępne są pod adresem www.dagma.pl oraz www.phion.pl. 10