La compañía de seguridad de redes Stonesoft ha lanzado de la versión 5.3 Stonesoft, producto que se sitúa como uno de los principales agentes del segmento de firewalls de nueva generación.
El principal objetivo de esta plataforma es extender sus capacidades en el ámbito de la autentificación y control de usuarios, así como del uso que hagan los mismos de los recursos web 2.0.
Stonesoft 5.3 abarca las cuatro dimensiones en la gestión de la seguridad. Por un lado, es una herramienta de gestión multidispositivo, que aporta visibilidad y control de hasta mil dispositivos de seguridad. Por otro, dispone de herramientas de provisión automática para multitud de dispositivos “sin manos remotas”.
Asimismo, se basa en un enfoque multiplataforma, dado que es capaz de gestionar cualquier dispositivo Stonesoft (FW, IPS, SSL VPN, Authentication Server) y actuar como plataforma SIEM para otros de terceros fabricantes. Igualmente, todos estos elementos pueden englobarse dentro de dominios de gestión (multidominio) que además se administran como piezas únicas para un entorno multicliente o distribuido.
Finalmente, la gran novedad es la gestión multicapa, que permite aplicar una gestión de Políticas Next Generation y extiende sus capacidades en el ámbito del control de usuarios, así como del uso que hagan éstos de los recursos web 2.0.
Hasta la fecha, e independientemente del control de acceso en el destino, y dado que en un entorno LAN existen multitud de perfiles de usuario con diferentes necesidades y privilegios, no parecía lógico que no se controlara el acceso tanto a determinados recursos de carácter privado como en el ámbito de la nube. Un firewall convencional sólo puede aplicar filtros basándose en las cabeceras IP, por lo que resulta muy complicado aplicar y mantener dichos filtros en función de usuario o grupo.
En cambio, Stonesoft firewall 5.3 permite utilizar, tanto en el campo origen como en el destino de la regla, usuarios o grupos pertenecientes al directorio activo. Para ello, Stonesoft ha desarrollado un agente que se integra con AD, y cuya función es informar al firewall acerca de qué usuarios se han autenticado contra el directorio y qué direccionamiento tienen.
De este modo, cualquier usuario o grupo de usuarios que esté en el dominio puede acceder a uno o más recursos de la red en función de lo que se especifique en la regla. Es posible, por tanto, utilizar el usuario como condición de “match” tanto para el campo origen como para el campo destino de la regla. Es decir, se permite instalar este agente en el servidor de directorio y en otro.
La principal ventaja derivada del uso del agente es que no es necesario realizar una autenticación previa contra el firewall y tan sólo se requiere que el usuario esté autenticado en el dominio. Además, existen ventajas añadidas, como son la posibilidad de crear informes de actividad por usuario.
Por último, Stonesoft Firewall 5.3 incorpora un portal web de autenticación que permite utilizar métodos de autenticación de tipo usuario/password y métodos de autenticación de doble factor (OTP) a través de la solución “Stonesoft authentication server”, como son Mobile Text, Stonesoft Mobile ID, o soluciones token soft.
Por otra parte, en las access rules se ha añadido la posibilidad de incluir el campo “identificador de aplicación” cuyo objeto es, más allá del filtrado en capa de transporte, filtrar por aplicación y, dentro de ésta, hacerlo por “subaplicación”, lo cual garantiza la máxima granularidad.
Es posible, a su vez, combinar los filtros por usuario con estos otros de aplicación e incluso armonizarlos con los “match” tradicionales, como son la IP origen, IP destino, puerto destino, time, etc.
Paralelamente, en la versión 5.3 se incorpora el concepto de zona, que es una etiqueta que puede ser asignada tanto a interfaces físicas como a VLANs. En las propiedades de los interfaces se asignan las zonas, de modo que una de ellas puede agrupar varios interfaces físicos, simplemente una, o varias VLANs, o incluso varios interfaces de distintos firewalls.
Al igual que los usuarios, las zonas pueden ser utilizadas como campo origen y destino en la regla de filtrado, así como las reglas de NAT.
Desde la versión 5.3 de firewall, al igual que las cabeceras origen/destino, es posible utilizar en las reglas el campo nombre de dominio. El firewall permite utilizar estos nombres de dominio como campos de condición dentro de las access rules, inspection rules, y NAT rules.
