Was kostet uns Sicherheit ? Anschaffung, Trends, laufende Kosten Johann Ladwein Sen. Sales-Development Mgr.

Firmengeschichte 1990 1994 2001 Als Sicherheitslieferant gegründet Eintritt in den Sicherheitsmarkt Als Sicherheitslieferant gegründet verkaufte Sicherheitslösungen anderer Hersteller benutzte eigene, anerkannte Expertise für Integrationslösungen Globaler Hersteller von Hochverfügbarkeit In den 90ern noch kein Markt für Hochverfügbarkeit Stonesoft brachte StoneBeat heraus, schuf den Markt für HA-Firewalls Zusatzprodukt für Firewalls anderer Hersteller Aufbau eines globalen Netzwerks Globaler Hersteller von Netzwerksicherheit brachte StoneGate High Availability Firewall und VPN heraus beinhaltet HA/LB für Netzwerk-Provider starke Finanzlage + schuldenfrei ! Anerkannter Markenname für IT-Sicherheit

Kosten pro Ausfallstunde Über € 5 mil (4%) € 1 mil - € 5 mil (4%) € 500,000 - €1 mil (9%) € 251,000 - € 500,000 (9%) € 50,000 oder weniger (46%) Kosten pro Ausfallstunde Von Applikationen / Servern € 101,000 - € 250,000 (13%) Quelle:Eagle Rock Alliance, Ltd. 2001 www.eaglerockalliance.com € 51,000 - € 100,000 (15%)

Stonesoft Produkte Multi-threaded, multi-tasking für Höchstleistung und Stabilität Clustering und Hochverfügbarkeit sind Standardeigenschaften Läuft auf Standard-Hardware Integriertes Betriebssystem Lastverteilung zwischen ISP-Anbindungen Neue Inspektionsmethoden Bietet entweder geclusterte oder “Hot-Standby“-Redundanz für mehrere Firewall/VPN-Lösungen Markführende Lösung hochverfügbare Sicherheits-Softwarelösungen Über 8000 Kunden weltweit

Problem #1 : Heterogenes Netz Geschützter Perimeter Apple Win NT W2000 Novell Netware Applikation RDBMS Any UNIX DEC VMS IBM MVS ÿ z Firewall Fax Printer Terminals Lokale User E-Mail WWW Toni Token Internet DMZ Unternehmensinterne Netze T1, FrameRelais, Fibre, ... RAS-Router Mobile Anwender

Problem: Entfernung vom Administrator Lokales Netz (LAN) Firmennetz (Intranet) Geschäfts- Partner (Extranet) Das Internet Grad des Sicherheits- Risikos + Höhe der Kosten Entfernung von der Administration Die Kosten steigen mit der Entfernung vom Administrator Stonesoft Corporation

Ständige Verwaltungsaufgaben Was Kostet Sie der Betrieb ? Grundeinstellung für den Geschäftsbedarf Neue Hard- oder Software Neuer Geschäftsbedarf Neue Anwender Veraltete Hard- oder Software Angriff erkannt Änderung Einführung der Standard-Konfiguration Entwickeln einer Standard-Konfiguration Test der Standard-Konfiguration Stonesoft Corporation

Kunden-Problem Alt-Firewalls Checkpoint FW1 wechseln zu NG bleiben 4.1 Migration zu StoneGate Jede Änderung zieht eine Kette weiterer Änderungen/Anpassungen nach sich ! StoneBeat Zentrale GUI HA/LB HA/LB Anpassen der Hochverfügbarkeit GUI FW/VPN FW/VPN Update der Firewall + Policy Änderungen 2 x Consolen OS OS Patchen des Betriebssystems (nach CERT) HA/LB HA/LB Anpassen der Hochverfügbarkeit GUI FW/VPN FW/VPN Update der Firewall + Policy Änderungen 2 x Consolen OS OS Patchen des Betriebssystems (nach CERT) GUI HA/LB HA/LB Anpassen der Hochverfügbarkeit GUI FW/VPN FW/VPN Update der Firewall + Policy Änderungen OS OS 2 Consolen Patchen des Betriebssystems (nach CERT)

Traditioneller Ansatz: Design High Availability Software Traditionell = Schichten OS, bedarf Härtung, Aktualisierung, Pflege Firewall, benötigt Konfiguration, Wartung HA benötigt Konfiguration, Wartung Firewall Software Betriebs- system

Herkömmliche Firewalls mit HA Betriebssystem Inst. - Sicherheitshärtung - Routingconfig. etc. Firewall-Sofware Inst. - Konfiguration HA-Software Inst. Firewall-Sofware Inst HA-Software Inst. - Konfiguration Permanentes Management Auf allen drei Ebenen der Lösung nötig - High Availability - Firewall - Betriebssystem Installationsdauer etwa 5 Stunden - High Availability - Firewall - Betriebssystem Firewall-Software Inst. - Konfiguration Betriebssystem Inst. - Sicherheitshärtung - Routingconfig. etc. Bei geclusterten Lösungen muß jeder Knoten getrennt installiert und einzeln verwaltet werden Stonesoft Corporation

Der Vertriebszyklus von Securityprodukten Altkunde: Technologie-wechsel ! Ablösung durch „Mitbewerb“ möglich Altkunde: strategische Entscheidung Neukunde: Probeweiser Einstieg ausgewähler Service / Anwender Profitabler Kunde Zeit

Kostenexplosion

VPN Kostenersparnis Mittelständiges Unternehmen in München mit Büros in Frankfurt und Kiel: Internetzugänge pro Monat: 3 x ISDN 128kBps, Flatrate à 199,40 € 598,20 € Standleitungen: 2 x 2 MBps, à 2.467,58 € 4.935,16 € Kosten Altlösung: 5.533,36 € Standleitungen für VPN zum ISP: 3 x 2 MBps à 1.426,50 € 4.279,50 € Kosten VPN-Lösung: 4.279,50 € Monatliche Einsparung: 1.253,86 €

Bestes Preis-Leistungsverhältnis s/w-Appliance mit Standard h/w (Stonegate & Intel) ano.-Appliance über +1 Gbps Durchsatz 1,000,000 gleichzeitige Verbindungen 3DES - +130 Mbps VPN Durchsatz 10,000 gleichzeitige VPN-Tunnel Preis der ano. h/w ohne FW-Lizenz € 56.645 Standard-Hardware-Lösung über 1,3 Gbps Durchsatz 1,000,000 gleichzeitige Verbindungen AES128 - 138 Mbps VPN Durchsatz 10,000 gleichzeitige VPN-Tunnel z.B.Preis einer IBM x345 KO32XGE ohne StoneGate € 5.590

Das Dilemma: scheinbar günstiger Enterprise VPN-Firewall LIC-SG-GSC-VPN Erste zwei Knoten für unbegrenzte Anz. IP-Adressen, Enterprise Management-System für unbegrenzte Anzahl VPN/Firewall (oder Cluster), Remote-Update Inkl.: Gehärtetes, integriertes, LINUX-basiertes Betriebssystem (Debian), HA und dynamisches Loadbalancing, Multiprozessor-Fähigkeit, Echtzeit-Log, LDAP, hierarchische OO-Regelbasis, Lizenzmanagement, … Kosten Software € 41.340,- Enterprise VPN-Firewall LIC-SG-GSC-VPN € 41.340,- MultiLink WAN-HA/LB - inklusive - StoneGate läuft auf Standard Intel, SPARC-Hardware oder IBM zSeries ! Traditionelle Firewall-Lösung: VPN-1 PRO-Enterprise CPVP-VEE-U-NG € 23.800,- Traditionelle Firewall-Lösung: FW mit VPN HA-Lizenz € 16.958,- Loadbalancing € 11.900,- Management System € 23.800,- Multi CPU € 3.570,- Hartes RH-LINUX € 24,- Kosten Software € 56.252,- H/W-WAN Loadbalancer € 39.973,- Gesamtkosten (ohne Hardware) € 96.225,-

Kundenbedarf Sicherheit Härtung des Betriebssystems Untersuchung von Level 2 bis 7 VPN (GW2GW + GW2cli) Public-Key-Einbeziehung Hochverfügbarkeit Integrierte Hochverfügbarkeit Lastverteilung / Skalierbarkeit Mehrere Internetanbindungen Multi-Routing Verbindungen für VPNs Stabile VPN-Verbindungen Mit HA und Lastverteilung Management-System Zentrales Management Mehrere Gateways administrierbar Audit-Trail und Revision Relationale Datenbankanbindung LDAP-fähig (Im-/Export)

Die Antwort auf viele Fragen Stonesoft Corporation

Komponenten Einstellung: integer, authentisch, geheim Verwaltung: GUI client Einstellung: integer, authentisch, geheim SSL Management system Database 2 Log server 1 n Verwaltung: Log und Management getrennt Database Management server SSL Firewall cluster Gateway-Cluster: Kein Direktzugriff, . . . Engine 16 Engine 1 Engine 2 Engine 3

Einfache Installation Gehärtetes Betriebssystem, Firewall und HA-Software in einem Installationsvorgang Der Rest der Konfiguration wird mittels des GUI ausgeführt Definition der Firewalls (single oder cluster = HA) drag & drop Bearbeitung des Routings Automatische Anti-spoofing Einstellung Automatische proxy ARP Erzeugung Softwareinstallation einfach und schnell (ca. 5 Min. pro Knoten)

Permanentes Management Für alle Ebenen (OS, FW, HA) Einfache Verwaltung Permanentes Management Für alle Ebenen (OS, FW, HA) … und geclusterte Firewalls GUI Management Server Firewall-Knoten 3 geschichtete StoneGate Architektur Alle Arbeiten im Management - OS, FW, HA - werden mit dem StoneGate GUI ausgeführt Für einzelne...

Open-Appliances Software-Appliance Firewall Firewall-Cluster Firewall-zSeries-Cluster Standard IntelTM , SPARCTM oder IBM zSeriesTM Hardware Sowie dedizierte Appliances

Open-Appliances Firewall-Appliance Vorteile: Plug & Play – leichte Installation Vorinstallierte Firewall (leere Template-Policy) 19-Zoll Formfaktor Schnelle Installation – schnelle Aufrüstung Hohe Redundanz und Packungsdichte zentralisiertes StoneGate Enterprise-Management

Kundenvorteile Zeitersparnis Kostensenkung Ressourcennutzen Schnelle Installation von OS, Firewall/VPN und HA/Loadbalancing OS bereits gehärtet (kein CERT- check) Kostensenkung Eine Administrationskonsole für OS, FW, VPN und HA/LB Kein Security-Spezialwissen nötig Ressourcennutzen Standard Hardware (Intel/SPARC) Hochleistungs VPN statt RAS Multi ISP-Nutzung der günstigsten Leistung Reputationsgewinn Immer Online, immer Verfügbar Keine Wartezeiten im eCommerce Schnelle Ladezeiten der Webinhalte Höchste Sicherheit Sichere mobile Anwender

All-in-one-Solution Internet Multiple ISP’s Redundant Multi-ISP hw solution Redundant Multi-ISP inbound LB hw solution Management server H A DMZ Redundant Inbound LB hw solution Additional HA software solution Internal network

VPN Diagram MultiLink: dynamisches Multi-ISP Multi-VPN Multi-Line Partner 1 Net Partner 2 Net ISP A ISP B ISP N INTERNET ISP C MultiLink: dynamisches Multi-ISP Multi-VPN Multi-Line ISP 1 ISP 3 Ersatz- Sicherheits-Leitung ISP 2 StoneGate Helsinki Net StoneGate VPN-Performanz: 5.100 Tunnel/Knoten, 70Mbps (3DES) – 165Mbps (AES128)

Stonesoft Corporation Maximale Sicherheit Multi-Layer Inspection mit Protocol Agents (Proxies) Kombiniert das Beste aus Stateful- Inspection und Proxy-Technologie Voll integriert: Firewall und Betriebssystem Indirektes Management-System über authentische SSL-Verbindungen Sicheres Multi-Link VPN Lastverteilung über mehrere ISPs StoneGate bietet den höchsten Level an Ausfallsicherheit und die grösste VPN-Sicherheit im heutigen Markt. Stonesoft Corporation

StoneGate Policy Manager Template vererbt die Grund-policy drag&drop cut&paste schnelles EInfügen Sub-bases und Sprung-befehle Stonesoft Corporation

Reseller-Problem mit alten Firewalls VAR und Kunde verlieren bares Geld ! Box C Box P L7-LB Box N Switch Router HA / LB Legacy Neue Version Migration Reseller Service: $$$$$$$$$$ - Reseller Kosten $$$$$ Reisekosten $ Zeitaufwand $ Personalkosten $ Ausbildung $$ . (4.1-> NG jedes Modul) Alles schon in der Packung: Zentrales Management Remote-Administration Lizenzmanger Remote Engine-Update (OS + FW / VPN + HA / LB) MultiLink WAN-HA / LB Reseller Profit: 00000$$$$$ Verlust durch hohe Pflegekosten ! Kosten des Kunden Kosten des Resellers

Die Roadmap: weitere Produkte Version W Die Roadmap: weitere Produkte

Stonesoft solide Kontakte Stonesoft Germany GmbH C a r l – Z e i s s – R i n g 1 3 8 5 7 3 7 I s m a n i n g G e r m a n y T e l . + 4 9 8 9 9 6 9 7 8 2 - 0 F a x . + 4 9 8 9 9 6 9 7 8 2 - 2 0 Allways highly available: S a l e s : S a l e s @ S t o n e s o f t . C o m T e c h . S u p p o r t : S u p p o r t @ S t o n e s o f t . C o m For additional information, please visit: http://www.stonesoft.com/ For additional information, please visit:: Stonesoft Corporation

Die Zeichen der Zeit erkannt !!! GOOGLE sei Dank Die Zeichen der Zeit erkannt !!!