Sei sulla pagina 1di 5
XTERA AscenLink En el presente laboratorio se identifica, examina, analiza, valora y evalúa una herramienta

XTERA AscenLink

En el presente laboratorio se identifica, examina, analiza, valora y evalúa una herramienta de seguridad de red de naturaleza hardware-software del tipo “edge-server”, que integra diversas funcionalidades –tanto de protección como de gestión de red– que impactan en la mejora de la QoS, como balanceo de carga bidireccional WAN (Wide Area Network), auto-routing, tolerancia a fallos de enlaces, multi-homing, tunnel routing, gestión de ancho de banda (BM) y firewall (con NAT/DMZ/ACL y protección del nivel de aplicación: IM/Skype, P2P/Gnutella, VoIP/SIP-H323). Se gestiona de forma centralizada utilizando un interfaz de usuario basado en Web. Opera sobre redes con múltiples líneas para acceder a Internet, y trabaja con la pila de protocolos TCP/IP, puertos 10/100/1000 Mbps y aplicaciones incluso sensibles al retardo (VoIP, videoconferencias, ERP/CRM, eLearning), bases de datos, portales Web, etc. Posibilita mejorar el ancho de banda en base al balanceo de carga de tráfico cifrado VPN, permite trabajar con VLAN/Tagging-IEEE802.1Q y soporta diversos tipos de conexiones con el ISP (Internet Service Provider), como líneas dedicadas, Frame Relay, xDSL-IP dinámica, UMTS, FTTB/FTTH, PPTP, PPPoE, MPLS, etc. Se puede integrar con sistemas SNMP.

IDENTIFICACIÓN DE LA HERRAMIENTA. PRINCIPALES CARACTERÍSTICAS

La herramienta de seguridad de naturaleza hardware- software AscenLink de Xtera Communications se cata- loga como un sistema multifuncional de seguridad para redes multienlace. Se suele ubicar en la frontera entre una WAN y una LAN. Las características más relevantes cons- tatadas en la presente herramienta a evaluar son:

(1) Escalabilidad. Permite agregar líneas, incluso de pequeño ancho de banda y más antiguas, para mejorar la transmisión de datos sin necesidad de cambios de direcciones de red impor- tantes. Puede soportar velocidades de Gbps (Gigabit por segundo) para co- nectividad con servicios LAN e ISPs, así como múltiples conexiones WAN, y to- dos los puertos Ethernet pueden progra- marse como puertos LAN, WAN o DMZ. El caudal de red puede aumentarse vía actualización de la clave de licencia sin necesidad de reemplazar el hardware. Soporta tecno- logía SwiftNAT para la traducción dinámica de direcciones IP de diferentes ISP. Soporta la posibilidad de disponer de varios servidores Web con el mismo contenido, soportan- do balanceo de carga a los mismos. Se ha constatado que se pueden establecer múltiples conexiones pass-through para direcciones IP públicas y encaminarlas en entradas a distintos servidores de la red interna. (2) Gestión centralizada. Utiliza un interfaz de usuario

basado en Web en el que se identifica un menú opera- tivo formado por cinco funciones principales: sistema, servicio, estadísticas, log y lenguaje, cada una dividida a su vez en submenús. La herramienta aquí evaluada y su package de informes LinkReport (que es un sistema de generación de informes externo el cual permite realizar

análisis de tráfico a nivel de tipo y utilización a corto y largo plazo, posibilitando una generación regular de informes a los administradores) proporcionan diversos elementos a la hora de la monitorización del rendimien- to de red y la generación de informes. Los informes de calidad y de utilización no solo permiten una gestión de cara a reaccionar ante los problemas de red, sino que también permiten planificar la capacidad de red mejoran- do el rendimiento de la misma. Se ha constatado que los cambios de configuración se guardan sin necesidad de rearrancar el sistema; asimismo, los ficheros de configura- ción se pueden almacenar y recuperar de forma remota. Las medidas sobre tráfico, alarmas, logs y otros datos de gestión se guardan con vistas a poder realizar análisis de tendencias y operaciones de gestión. Posibilita obtener diferentes tipos de informes para sus servicios, así como una monitorización de rendimiento de cada enlace WAN en tiempo real. Dispone de un sistema de alertas y de informes planificados que se pueden enviar por correo electrónico o integrarlo con sistemas de gestión de red utilizando SNMP. (3) Múltiples funcionalidades en forma de servicios. Se han constatado, entre otras, funcionalidades como:

el auto-routing; el routing óptimo (que monitoriza de forma continua la red pública –Internet– para seleccionar la ruta

más corta y rápida para aplicaciones de misión crítica, como VoIP. El tráfi- co no crítico puede encaminarse por otros enlaces cuando existe tráfico priorizado o asignarse permanente- mente a diferentes grupos de enlaces WAN); la tolerancia a fallos con fail-over/fall-back automático (que detecta fallos del enlace de acceso local y fallos extremo a extremo en la red y puede, bien fall-back a enlaces WAN que queden o fall-over a enla-

fall-back a enlaces WAN que queden o fall-over a enla- AscenLink, de Xtera, es una herramienta
fall-back a enlaces WAN que queden o fall-over a enla- AscenLink, de Xtera, es una herramienta

AscenLink, de Xtera, es una herramienta hardware- software escalable de seguridad-gestión de red, con una fiabilidad y rendimiento satisfactorios, que integra diversas funcionalidades, como firewall (DMZ, ACL con protección del nivel de aplicación), multi-homing, balanceo de carga bidireccional, gestor de ancho de banda, auto-routing versátil, tolerancia a fallos de enlaces, alta disponibilidad, etc. Se gestiona de forma centralizada con un interfaz de usuario basado en web sencillo.

120

ABRIL

2012

/

Nº99

/

S i C

XTERA AscenLink Fig. 1.- Aspecto de las unidades hardware modelos AL5000 y AL700 de AscenLink

XTERA AscenLink

XTERA AscenLink Fig. 1.- Aspecto de las unidades hardware modelos AL5000 y AL700 de AscenLink de

Fig. 1.- Aspecto de las unidades hardware modelos AL5000 y AL700 de AscenLink de XTERA.

2) NAT (Network Address Translation). Permite que cuando una conexión se establece desde una dirección IP privada (como LAN o DMZ) a Internet (WAN) la herramienta aquí evaluada

traduce la IP privada en una IP pública

y viceversa. El no-NAT se ha proba-

do en redes privadas y MPLS donde el computador en la WAN accede directamente al computador de la DMZ y donde la herramienta se utiliza para balancear carga VPN y líneas de respaldo. 3) Routing persistente. Se realiza sobre conexiones seguras, como HTTPS/SSH, y posibilita que la direc- ción IP origen permanezca sin cambios durante una misma sesión. Es útil para aplicaciones que necesitan conexiones seguras entre el servidor y el clien- te, de modo que la conexión cliente

caerá si el servidor detecta diferentes direcciones IP origen para el mismo cliente durante una sesión autenticada

y certificada.

4) Balanceo de carga de enlaces sa- lientes (auto-routing). Permite deter- minar la forma en que se encamina el tráfico a los enlaces WAN. Se configura en dos fases: políticas y filtros. Las

. Se configura en dos fases: políticas y filtros . Las Fig. 2.- Interfaz de administración

Fig. 2.- Interfaz de administración de AscenLink.

EQUIPOS UTILIZADOS EN LA EVALUACIÓN

Equipamiento para servidores

y

sistemas finales de usuarios

y

generadores de tráfico con

Windows (7, Vista, XP, 2008, 2003, 2000) y Linux (Red Hat Enterprise, SuSe Linux, etc.), PCs con procesador Intel Core 2 Quad, 3 GHz., con 4 Gb de memoria, disco duro de 250 Gb, unidad DVD/CD-ROM, tar- jeta gráfica WXGA, tarjeta NIC de red 10/100/1000 Base T compatible NE2000/NDIS. Na- vegadores Internet Explorer 8, Mozilla Firefox. Servidores de correo electrónico Microsoft Exchange. Servidores Web y DNS. Servidores Directorio Activo-MS, LDAP y Radius. Servidores de base de datos

Oracle. Servidores de ficheros

y Web. SIP-H.323/VoIP.

Clientes de correo electrónico como Outlook. SNMP.

Nueve redes locales, Ethernet 10/100/1000 BaseT con IEEE 802.2-LLC, como soporte físico de las comunicaciones con Protocolo de Control de Acceso al Medio o MAC CSMA/CD. Acceso a Internet.

Hubs/Switches de 16 puer- tos Ethernet 10/100/1000. Módems analógicos para RTB/RTC V.90/ITU-TSS (a 56 Kbps) y tarjetas digitales RDSI-BE 2B+D/Acceso Bási- co-BRA como acceso conmu-

tado al exterior y conexiones ADSL/cable módem/MPLS. Acceso GSM/GPRS/UMTS/ HSDPA. Router. Acceso con líneas dedicadas E1/T1. Firewall/VPN. Puntos de ac- ceso Wi-Fi, IEEE 802.11g/b/ a/n. Impresoras. Smartpho- nes. Tablets. Dos appliances AscenLink modelos AL5000

y AL700.

Analizador de protocolos para monitorizar las comu- nicaciones intercambiadas en todos los niveles de la arquitectura. Módulos de valoración de mecanismos de control a nivel de gestión de red, QoS, aplicaciones, criptográficos de cifrado, autenticación. Módulo de

valoración de criptoanálisis/

esteganoanálisis/optimiza-

ción WAN.

Módulo de pruebas para me-

didas de seguridad, latencia, ancho de banda y rendimien- to con diferentes cargas de trabajo, número de usuarios

y flujos. Generadores de

tráfico con datos sensibles ocultos. Baterías de ataques contra la seguridad, el ren- dimiento, latencia y ancho de banda de las aplicaciones bajo control gestionable de

cargas de tráfico.

Módulos de amenazas a la gestión/control de red/aplica- ciones vía información codifi- cada, cifrada y esteganogra- fiada con canales encubier- tos y tráfico visible/invisible con datos maliciosos.

ces WAN redundantes. El comportamiento fall-back/fall-over está bajo el control del administrador y se basa en reglas de bas- tante flexibilidad para satisfacer diferentes

situaciones que puedan ocurrir. Los enlaces y rutas se recuperan automáticamente cuando

el rendimiento vuelve a niveles aceptables.

Se ha constatado que las notificaciones se

envían automáticamente a los administrado- res cuando ocurren problemas en una ruta

o enlaces); el multi-homing; los servidores

virtuales; el tunnel routing (servicios de línea privada virtual), que permite VPN multi-enlace entre dos ubicaciones. Posi- bilita crear túneles entre diferentes sitios, de modo que permite protección y com- binación de enlaces y es adecuado para la implantación de intranets en organizaciones que se encuentran distribuidas en diferen- tes partes geográficas. Las aplicaciones que requieren elevado ancho de banda de

sesión única, como la vídeoconferencia o la optimización WAN, pueden utilizar múltiples enlaces para construir el ancho de banda necesario. El tráfico multi-

sesión puede compartir un túnel de tamaño apropiado. Los túneles presentan la misma funcionalidad que enlaces

únicos, soportando balanceo de carga, fall-back, fail-over

y detección de operatividad, tanto dentro como entre

los túneles. La funcionalidad WLHD (WAN Link Health Detection) monitoriza constantemente las condiciones

y estado de la red; tunnel-routing posibilita redireccio-

nar de forma instantánea los paquetes desde un enlace con fallos hacia otro operativo; de este modo es posible realizar el tráfico de grandes cantidades de información crítica de forma protegida. Por tanto, mediante balanceo

de paquetes en configuración VPN y la tolerancia a fallos, dos ubicaciones pueden establecer de forma simultánea múltiples conexiones VPN e incrementar el rendimiento

y el acho de banda de las conexiones VPN entre los dos

sitios; en esta funcionalidad se da una agregación real de

tráfico de bajada o subida por todas las líneas de la VPN. Cuando un enlace WAN falla, la herramienta aquí eva- luada reencamina automáticamente el túnel VPN a otro enlace WAN dentro del grupo de túneles, asegurando que no se interrumpa la conexión VPN. (4) Alta disponibilidad. Soporta una estructura maestro/ esclavo para casos de fallos de hardware. Dos dispositi- vos (en la presente evaluación AL5000 y AL700) pueden trabajar juntos, con el esclavo configurado igual que el maestro. Si el maestro falla, el esclavo automáticamente toma el control, Se ha constatado que la configuración se realiza en uno de los dispositivos hardware y éste replica

la misma en el otro.

EFICIENCIA Y RENDIMIENTO DE RED:

MENÚ SERVICIO

Dentro del menú Servicio, se ha constatado

que los usuarios con autorización de admi- nistrador pueden acceder a las siguientes

funcionalidades:

1) Firewall. Permite añadir un número ilimitado de reglas de filtrado a una lista con priorización top-down. Esta funcionalidad de protección posibilita definir acciones como aceptar/denegar, establecer fuen- tes/destinos como grupos de direcciones IP, subred, WAN, LAN, DMZ para servidores no críticos, túnel, FQDN, etc., e interactuar con servicios como SSH, H323, TCP, DNS, etc.

S i C

/

Nº99

/

ABRIL

2012

121

políticas permiten al administra- dor seleccionar los algoritmos de balanceo de carga ( round-robin, por

políticas permiten al administra- dor seleccionar los algoritmos de balanceo de carga (round-robin, por ruta óptima, por conexión,

etc.) a desplegar en los filtros. La herramienta aquí evaluada utiliza una tabla de filtros para gestionar el tráfico saliente por comparación en orden top-down. El auto- routing consulta la tabla de filtros

y comprueba si la conexión a esta-

blecer coincide con algún filtro de la tabla, en caso afirmativo la po- lítica de routing asignada al filtro decidirá qué enlace WAN utilizará la conexión. El auto-routing po- sibilita distribuir múltiples enlaces WAN bajo el control de mecanis- mos de balanceo de carga, que posibilitan ajustar de forma fina el tráfico distribuido a través de los enlaces disponibles. Cada desplie- gue puede personalizarse con una asignación de tráfico de aplicación

especialmente flexible.

5) Servidor virtual. Posibilita que los servidores de la intranet (en la LAN o en la DMZ) sean acce- sibles a Internet (a la WAN). Las direcciones IP privadas asignadas

a los servidores de la intranet se

hacen invisibles al entorno de red externo; sin embargo, los servi-

cios son accesibles a usuarios de fuera de la intranet. Redirecciona las peticiones externas a los servidores de la intranet consul- tando la tabla del servidor virtual. Las reglas de dicha tabla se priorizan de arriba abajo. Esta funcionalidad posibilita el balanceo de carga entre varios servidores (o cluster de servidores), consiguiendo que los servidores tengan un nivel mayor de accesibilidad. El balanceo de carga de servidor y alta disponibilidad (servidores virtuales) permite balan- ceo de carga simple de servidor y detección de operatividad de servidor para servidores múltiples que ofrecen la misma aplicación. Cuando las peticiones de servicio son distribuidas

entre servidores, los servidores que son lentos o tienen fallos se evitan y/o recuperan de forma automática. Se ha consta- tado la posibilidad de un control granular y flexible por parte del administrador para interactuar con los parámetros de rendimiento. 6) BM (Bandwidth Management) entrante/saliente. Permi- te controlar el flujo de red que entra y sale de la intranet y asigna ancho de banda a las aplicaciones utilizando clases y filtros. Para proteger el ancho de banda de las aplicaciones críticas la funcionali- dad BM define el ancho de banda entrante y saliente basado en la dirección del tráfico. Si se toma la herramienta aquí evaluada como centro, el tráfico que fluye de la WAN a la LAN es entrante y el contrario es saliente. Para mejo- rar el ancho de banda se utilizan configuraciones de prioridad y se gestiona el tráfico configurando aspectos como tipo de servicio, horas de ocupado/libre, origen/

destino de datos, etc.

horas de ocupado/libre, origen/ destino de datos, etc. Fig. 3.- Pantalla para configurar servidor DNS con

Fig. 3.- Pantalla para configurar servidor DNS con AscenLink de XTERA.

para configurar servidor DNS con AscenLink de XTERA. Fig. 4.- Pantalla para VLAN y puertos con

Fig. 4.- Pantalla para VLAN y puertos con AscenLink.

7) Límite de conexiones. Permite restringir el número de conexiones para que permanezcan por debajo de un cierto límite especificado. Cuando el número de conexiones excede ese límite, el sistema au- tomáticamente registra (hace log) el evento. El límite de conexiones puede detectar volúmenes muy elevados de tráfico causados por ataques maliciosos. La herramien- ta aquí evaluada se ha constata- do que permite proteger la red rechazando conexiones que se encuentren por encima de un cierto umbral. 8) Redirección de caché. Permi- te trabajar con servidores caché externos (cada uno con diferentes conjuntos de reglas). Cuando un usuario pide una página de un servidor web de Internet, la herramienta evaluada redirecciona la petición al servidor caché (que puede estar en la DMZ). Si la pá- gina web pedida ya se encuentra en el servidor caché, la devolverá al usuario, de modo que ahorra tiempo a la hora de recuperar datos. 9) Multi-homing. Si bien la funcionalidad de auto-routing proporciona balanceo de car-

ga y tolerancia a fallos para las peticiones salientes, las peticiones entrantes se gestionan a través de la tecnología SwiftDNS, que es un servicio de multi-homing (el cual presenta dos opciones, DNS interna y DNS relay) que incluye balanceo de

carga y tolerancia a fallos para las peticiones entrantes. Para

el multi-homing se necesitan redes que tengan varios enlaces

WAN y nombres de dominio registrados para servidores accesibles públicamente. Cuando la herramienta recibe una query DNS responde con una IP pública asignada a uno de los enlaces WAN en base a las configuraciones de las políticas

de respuesta. Las peticiones siguientes al servidor se enviarán

a la IP pública del enlace WAN en base a la respuesta anterior.

Las políticas se basan en el peso para cada enlace WAN y son definibles. El multi-homing puede detectar de forma automá- tica los mejores enlaces, dando lugar al optimum route. Si el enlace WAN falla, la IP pública asignada a ese enlace no se devolverá y los servidores serán alcanzables a través de otros enlaces. El multi-homing (balan- ceo de carga de enlaces entran- tes) permite balancear la carga de peticiones y respuestas entrantes a través de múltiples enlaces WAN para mejorar la respuesta del usuario y la fiabilidad de red. Los mecanismos de balanceo de carga permiten que los servicios de prioridad se mantengan y den el ancho de banda upstream apropiado a la organización (que hospede servidores de correo u otros servicios de acceso público). 10) DNS interno. La herramienta aquí evaluada soporta un servidor DNS interno configurable, que permite tener dados de alta los

interno configurable, que permite tener dados de alta los Fig. 5.- Pantalla de diagnóstico con AscenLink.

Fig. 5.- Pantalla de diagnóstico con AscenLink.

registros MX, CNAME, A, etc.

122

ABRIL

2012

/

Nº99

/

S i C

XTERA AscenLink 11) SNMP . La herramienta aquí valorada soporta SNMP versiones 1, 2 y

XTERA AscenLink

11) SNMP. La herramienta aquí valorada soporta SNMP versiones 1, 2 y 3, lo que le permite gestio- nar redes TCP/IP proporcionando datos estadísticos relacionados entre otros aspectos, como la seguridad, fallos, configuración, contabilidad y el rendimiento. 12) Correspondencias entre IP-MAC. Los usuarios pueden especificar una tabla de corres- pondencias entre direcciones IP y direcciones MAC, clasificando períodos como horas punta, horas de inactividad, etc. Una vez establecida esta tabla, un paquete IP de una cierta dirección IP podrá pasar solo cuando su dirección MAC coincida con alguna de las especificaciones de la tabla.

SISTEMA DE VIGILANCIA DE RED: ESTADÍSTICAS

de la tabla. SISTEMA DE VIGILANCIA DE RED: ESTADÍSTICAS Fig. 6.- Interfaz WLHD con AscenLink de

Fig. 6.- Interfaz WLHD con AscenLink de XTERA.

ESTADÍSTICAS Fig. 6.- Interfaz WLHD con AscenLink de XTERA. Fig. 7.- Interfaz servicio firewall con AscenLink.

Fig. 7.- Interfaz servicio firewall con AscenLink.

XTERA. Fig. 7.- Interfaz servicio firewall con AscenLink. Fig. 8.- Interfaz del servidor virtual con AscenLink.

Fig. 8.- Interfaz del servidor virtual con AscenLink.

Permite inspeccionar el número de conexiones establecidas en

tiempo real y así poder justificar

el número máximo de conexiones

permitidas para evitar situaciones de congestión de red. (11) Estado del servidor virtual. Visualiza estadísticas sobre el servicio de su mismo nombre.

LOG. LINKREPORT. SISTEMA

A través de Log se pueden

registrar datos acerca de los distintos componentes existentes:

sistema, firewall, routing, ancho de banda, etc., y reenviarlos a otros servidores externos para su

archivo y notificación de eventos.

El software de análisis basado

en Web denominado LinkReport permite una visión del tráfico de red a través de grandes volúmenes de datos de log. Dentro de Log,

se ha constatado que los usuarios con autorización de administrador pueden acceder a los siguientes

recursos:

La herramienta aquí evaluada per- mite generar estadísticas en tiem- po real como estado de los enla- ces WAN, clasificación del tráfico, estadísticas de tráfico de túnel, de estado del servidor virtual, de límite de conexiones, información del interfaz de red, etc. Dentro de Estadísticas, se ha constatado que los usuarios con autorización de administrador pueden realizar las siguientes tareas:

(1) Tráfico. Permite ordenar y visualizar tráfico en tiempo real. Las estadísticas se analizan en base a conexión WAN individual y dirección del tráfico.

(2) BM. Posibilita realizar análisis de tráfico incluso a largo plazo, de minutos a meses. (3) Routing persistente. Permite ver y “resetear” manual- mente conexiones. (4) WLHD (WAN Link Health Detection). Muestra los resulta- dos de WLHD relacionados con la fiabilidad de una conexión WAN concreta. (5) Enlaces WAN de IP dinámica. Muestra detalles de estos enlaces como dirección IP obtenida de PPPoE o DHCP; también permite crear nuevas direcciones IP y reestablecer conexiones a la WAN.

(6) Servidor DHCP. Muestra datos de asignaciones DHCP, como di- rección IP y MAC, cliente-nombre del host y tiempo de expiración. (7) Estado de RIP y OSPF. Muestra datos que se utilizan para inspeccionar IP de red, máscaras de red y lista de pasarela de subre- des privadas. (8) Estado del túnel. Muestra da- tos del tunnel routing en el último intervalo de tiempo pasado. (9) Tráfico del túnel. Muestra estadísticas del tráfico entrante/ saliente relacionado con el tunnel routing en el último intervalo de tiempo pasado. (10) Límite de conexiones.

1) View. Permite elegir entre los tipos de log y sus eventos y mos- trar online los eventos actuales. 2) Control. Envía datos a servido- res externos vía FTP o SMTP para su archivo y análisis. 3) Notificación. Permite estable- cer métodos en el caso de eventos importantes para notificar por trap-snmp y SMTP. 4) LinkReport. Controla la forma de comunicar los log con el servidor LinkReport. El análisis de

los ficheros de log se realiza en el computador donde reside LinkReport y no en el interfaz de usuario Web de la herra- mienta aquí evaluada. Dentro del menú Sistema, se ha constatado que se pueden realizar las siguientes tareas:

(1) Sumario. Visualiza información del propio sistema, de la licencia, del estado del enlace WAN y sobre el modo alta disponibilidad cuando se trabaja con dos unidades hardware. (2) Configuración de red. Permite configurar WAN y LAN en aspectos como DNS, VLAN, WAN/DMZ, etc. (3) WLHD. Permite establecer

criterios específicos a cada enlace

o grupo de enlaces WAN. (4) De-

tección de ruta óptima. Posibilita configurar valores para optimizar

la conexión entre múltiples ISP.

(5) Configuración de la velocidad de los puertos (por defecto esta en autodetección) y el modo de transferencia dúplex. (6) Configuración de líneas de back-up. Permite habilitar/inhabili- tar líneas de respaldo. (7) Grupos IP. Posibilita crear y gestionar grupos de IPs. (8) Grupos de servicios. (9) Configuración de horas de ocupación. Se utiliza para la gestión del ancho de banda.

de horas de ocupación. Se utiliza para la gestión del ancho de banda. Fig. 9.- Pantalla

Fig. 9.- Pantalla de multi-homing con AscenLink.

S i C

/

Nº99

/

ABRIL

2012

123

ración con firewall externos. Los resultados de la evaluación han sido del 95,2%. Los resultados

ración con firewall externos. Los resultados de la evaluación han sido del 95,2%. Los resultados de las pruebas de rendimiento han conducido a valores en torno al 95% ante pruebas de estrés y fatiga con gradientes de carga prolongados y fallos. Los resultados de las pruebas con WLHD han sido satisfactorios, del 91,2% en el peor de los ca- sos. La valoración de la gene- ración de diferentes informes para sus servicios, así como una monitorización de rendimiento de cada enlace WAN en tiempo real, que posibilita una visualiza-

(10) Herramientas de diagnós- tico. Incluye entre otras tcp- dump para captura de paquetes sobre interfaces, ping para conocer la accesibilidad, arping para mostrar la tabla ARP, test de conflictos IP, traceroute, nslookup, etc. (11) Configuración de fecha/ hora y zona horaria. (12) Asistencia remota. Permite la entrada al sistema al personal técnico de Xtera en caso de averías. Opera con los puertos TCP 443 y 23 SSH. (13) Administración. Permite realizar tareas como cambio de

contraseñas, modificación de los puertos como el del interfaz de usuario, llevar a cabo labores de actualización del firmware, realizar operaciones de copia de seguridad de ficheros de configuración, etc.

de copia de seguridad de ficheros de configuración, etc. Fig. 10.- Interfaz de notificación con AscenLink

Fig. 10.- Interfaz de notificación con AscenLink de XTERA.

ción de consumo de caudal por cada WAN, ha sido del 94,9%. Los resultados en relación al número máximo de enlaces WAN utilizables sin degradación significativa han sido de cincuenta para el AL5000 y de veinticinco para el AL700. La valoración de los test sobre alta disponibilidad ha sido satis- factoria, con resultados del 95%. Los resultados de la valoración de gestión de la herramienta han sido del 94,9% y la del sistema de alertas planificadas y de informes planificados que puede enviar por correo electró- nico o integrarlo con sistemas de gestión vía SNMP ha sido del 95,7%. Igualmente, los resultados de los test y baterías de pruebas en relación a la latencia con aplicaciones sensi- bles al tiempo han sido aptos, y los obtenidos de las pruebas side-channels efectuadas han sido satisfactorios: para análisis de timing, 90%; para análisis de potencia DPA (Differential Power Analysis), 89%; para el análisis de fallos, 91%; y basa- dos en radiación EM, el 91,2%. La valoración de los mecanis- mos de agregación de líneas en entornos completos ha sido del 91,3%, y los de los test relacionados con las pruebas del túnel routing han sido satisfactorias, del 94,2%, con cargas de tráfico del 82% y fallos sistemáticos. La valoración de las pruebas de escalabilidad ha sido del 95,1%, y los resultados de los test a los servicios del 94,9%.

CONSIDERACIONES FINALES

Se ha sometido la presente herramienta durante veinte días a un continuado y exhaustivo conjunto de pruebas y diferentes baterías de test. Se ha evaluado la herramienta hardware- software con resultados globales en funcionamiento, protec- ción, gestión y rendimiento en torno al 95%. Se han realizado diversos test en diferentes escenarios de despliegue tipo WAN-LAN con DMZ, firewall externo, infraestructura VLAN, direcciones IP estáticas y dinámicas: (i) Modo bridge con una o varias IP estáticas, con PPPoE y con cliente DHCP. (ii) Modo routing con uno o múltiples enlaces WAN. En este caso el ISP proporciona un segmento de red al usuario con una o varias líneas WAN hacia la o las herramien- tas y con el uso de direcciones estáticas y dinámicas (caso de pruebas de túnel routing, agregación de líneas, alta disponi- bilidad/fail-over, etc.). Se han realizado subredes privadas con RIP, OSPF. Los resul- tados de la evaluación han sido del 94,8%. (iii) Modo colabo-

CONCLUSIONES

ObjetivO: herramienta de seguridad de red de naturaleza hardware-software del tipo edge-server compuesto por diversas funcionalidades de gestión-seguridad de red como firewall/NAT/ACL/DMZ, routing persistente, balanceo de carga de tráfico entrante y saliente, servidor virtual, gestión del ancho de banda, túnel routing, alta disponibilidad, fail-over, etc. Se gestiona de forma centralizada desde un interfaz de usuario basado en Web, desde el que se puede interaccionar con LinkRe- port para generar informes, diagnósticos y diversas estadísticas como estado multi-homing, uso del ancho de banda, fallo enlaces WAN, etc.

PuntualizaciOnes/limitaciOnes: utiliza un servidor NTP para la sincronización temporal. El estado de la conexión de un enlace WAN se detecta utilizando paquetes TCP e ICMP. Solo admite un administrador y cinco monitores para acceder al interfaz de usuario Web. Gestiona la mayor parte de sus reglas/filtros/políticas con el método de evaluación top-down, donde las reglas se priorizan en orden decreciente. Si la contraseña de administrador se pierde u olvida, se debe utilizar una conexión local a la unidad hardware a través del puerto de consola serie RS232, y con el software hyperterminal establecer log con el nombre de usuario/contrase- ña Administrador/ascenlink y realizar el comando resetpasswd para restaurar la contraseña por defecto de fábrica. Opera bajo el sistema operativo LinkOS, soporta puertos Ethernet 10/100/1000 Mbps. La redirección de caché ha sido apta. Posibles nuevas funcionalidades a integrar en el interfaz Web de usuario. Limitación en el tamaño del fichero de configuración IP Group. Se observan numerosos checkbox en el interfaz de usuario para habilitar o inhabilitar las diversas funciones.

imPactO de su utilización: incluye un circuito virtual trunk interno, que es una combinación de varios enlaces WAN; el autorouting permite ajustar el virtual trunk para incluir solo los enlaces WAN operativos y dirigir el tráfico saliente a través del circuito virtual trunk de forma automática. Permite agregar múltiples ISP para balan- ceo de carga y fail-over. El visualizador LCD del AL5000 permite mostrar el uso de CPU/memoria, el número de conexiones, las direcciones IP y el ancho de banda entrante y saliente. Para acceder al interfaz de usuario Web en el navegador se debe inhabilitar proxy server.

PrestaciOnes/ventajas esPecíficas: los usuarios de red no se dan cuenta de los cambios de estado de los enlaces WAN debidos a un

posible malfuncionamiento de ellos. Las sesiones de comunicación entre el PC del interfaz de usuario y la herramienta evaluada son cifradas bajo HTTPS. Soporta virtual server y balanceo de carga de servidor simple, lo cual permite una presentación de los servicios externos a los clientes de forma uniforme. Permite operar con DNS interno y relay. Incorpora mecanismos de routing de buena granularidad. Soporta VLAN, VPN, DMZ. Presenta un rendimiento y una fiabilidad satisfactorias.

dOcumentación: apta. Utilización de ficheros .pdf.

estructuración de la herramienta: (i) Dos unidades hardware AL5000 y AL700 para pruebas de túnel routing, agregación de líneas, etc. (ii) Software AscentLink y LinkReport para la generación de informes.

calificación final del PrOductO: Herramienta escalable de seguridad-gestión de red de naturaleza hardware-software que integra diversas funcionalidades como firewall (DMZ, ACL con protección del nivel de aplicación), multi-homing, balanceo de carga bi- direccional, gestor de ancho de banda, auto-routing versátil, tolerancia a fallos de enlaces, alta disponibilidad, etc. Se gestiona de forma centralizada con un interfaz de usuario basado en Web sencillo. El funcionamiento de los mecanismos de auto- routing, como balanceador de carga para tráfico saliente y de multi-homing para el tráfico entrante, presentan un funciona- miento adecuado. Soporta despliegues entre sucursales bastante flexibles y posibilita una gestión satisfactoria con túneles VPN. Opera con LinkReport para ampliar las funcionalidades de los recursos de gestión y proporcionar informes útiles.

EQUIPO DE EVALUACIÓN

Prof. Dr. Javier Areitio Bertolín Catedrático de la Facultad de Ingeniería. Director del Grupo de Investigación Redes y Sistemas.

UNIVERSIDAD DE DEUSTO
UNIVERSIDAD
DE DEUSTO

124

ABRIL

2012

/

Nº99

/

S i C