XTERA AscenLink

XTERA AscenLink
En el presente laboratorio se identifica, examina, analiza, valora y evalúa una herramienta de
seguridad de red de naturaleza hardware-software del tipo “edge-server”, que integra diversas
funcionalidades –tanto de protección como de gestión de red– que impactan en la mejora
de la QoS, como balanceo de carga bidireccional WAN (Wide Area Network), auto-routing,
tolerancia a fallos de enlaces, multi-homing, tunnel routing, gestión de ancho de banda (BM)
y firewall (con NAT/DMZ/ACL y protección del nivel de aplicación: IM/Skype, P2P/Gnutella,
VoIP/SIP-H323). Se gestiona de forma centralizada utilizando un interfaz de usuario basado en
Web. Opera sobre redes con múltiples líneas para acceder a Internet, y trabaja con la pila de
protocolos TCP/IP, puertos 10/100/1000 Mbps y aplicaciones incluso sensibles al retardo (VoIP,
videoconferencias, ERP/CRM, eLearning), bases de datos, portales Web, etc. Posibilita mejorar
el ancho de banda en base al balanceo de carga de tráfico cifrado VPN, permite trabajar con
VLAN/Tagging-IEEE802.1Q y soporta diversos tipos de conexiones con el ISP (Internet Service
Provider), como líneas dedicadas, Frame Relay, xDSL-IP dinámica, UMTS, FTTB/FTTH, PPTP, PPPoE,
MPLS, etc. Se puede integrar con sistemas SNMP.
IDENTIFICACIÓN DE LA HERRAMIENTA. PRINCIPALES
CARACTERÍSTICAS
basado en Web en el que se identifica un menú operativo formado por cinco funciones principales: sistema,
servicio, estadísticas, log y lenguaje, cada una dividida a
su vez en submenús. La herramienta aquí evaluada y su
La herramienta de seguridad de naturaleza hardwarepackage de informes LinkReport (que es un sistema de
software AscenLink de Xtera Communications se catageneración de informes externo el cual permite realizar
loga como un sistema multifuncional de seguridad para
análisis de tráfico a nivel de tipo y utilización a corto y
redes multienlace. Se suele ubicar en la frontera entre una
largo plazo, posibilitando una generación regular de
WAN y una LAN. Las características más relevantes consinformes a los administradores) proporcionan diversos
tatadas en la presente herramienta a evaluar son:
elementos a la hora de la monitorización del rendimien(1) Escalabilidad. Permite agregar
to de red y la generación de informes. Los informes de
líneas, incluso de pequeño ancho de
calidad y de utilización no solo permiten una gestión de
banda y más antiguas, para mejorar la
cara a reaccionar ante los problemas de red, sino que
transmisión de datos sin necesidad de
también permiten planificar la capacidad de red mejorancambios de direcciones de red impordo el rendimiento de la misma. Se ha constatado que los
tantes. Puede soportar velocidades de
cambios de configuración se guardan sin necesidad de
Gbps (Gigabit por segundo) para corearrancar el sistema; asimismo, los ficheros de configuranectividad con servicios LAN e ISPs, así
ción se pueden almacenar y recuperar de forma remota.
como múltiples conexiones WAN, y toLas medidas sobre tráfico, alarmas, logs y otros datos de
dos los puertos Ethernet pueden progragestión se guardan con vistas a poder realizar análisis de
marse como puertos LAN, WAN o DMZ. El caudal de red
tendencias y operaciones de gestión. Posibilita obtener
puede aumentarse vía actualización de la clave de licencia
diferentes tipos de informes para sus servicios, así como
sin necesidad de reemplazar el hardware. Soporta tecnouna monitorización de rendimiento de cada enlace WAN
logía SwiftNAT para la traducción dinámica de direcciones
en tiempo real. Dispone de un sistema de alertas y de
IP de diferentes ISP. Soporta la posibilidad de disponer de
informes planificados que se pueden enviar por correo
varios servidores Web con el mismo contenido, soportanelectrónico o integrarlo con sistemas de gestión de red
do balanceo de carga a los mismos. Se ha constatado que
utilizando SNMP.
se pueden establecer múltiples conexiones pass-through
(3) Múltiples funcionalidades en forma de servicios.
para direcciones IP públicas y encaminarlas en entradas a
Se han constatado, entre otras, funcionalidades como:
distintos servidores de la red interna.
el auto-routing; el routing óptimo (que monitoriza
(2) Gestión centralizada. Utiliza un interfaz de usuario
de forma continua la red pública
–Internet– para seleccionar la ruta
AscenLink, de Xtera, es una herramienta hardwaremás corta y rápida para aplicaciones
software escalable de seguridad-gestión de red, con una
de misión crítica, como VoIP. El tráfico no crítico puede encaminarse por
fiabilidad y rendimiento satisfactorios, que integra diversas
otros enlaces cuando existe tráfico
funcionalidades, como firewall (DMZ, ACL con protección
priorizado o asignarse permanentemente a diferentes grupos de enlaces
del nivel de aplicación), multi-homing, balanceo de carga
WAN); la tolerancia a fallos con
bidireccional, gestor de ancho de banda, auto-routing
fail-over/fall-back automático (que
versátil, tolerancia a fallos de enlaces, alta disponibilidad,
detecta fallos del enlace de acceso
local y fallos extremo a extremo en la
etc. Se gestiona de forma centralizada con un interfaz de
red y puede, bien fall-back a enlaces
usuario basado en web sencillo.
WAN que queden o fall-over a enla-
120
ABRIL 2012 / Nº99 /
SiC
XTERA AscenLink
ces WAN redundantes. El comportamiento
fall-back/fall-over está bajo el control del
administrador y se basa en reglas de bastante flexibilidad para satisfacer diferentes
situaciones que puedan ocurrir. Los enlaces y
rutas se recuperan automáticamente cuando
el rendimiento vuelve a niveles aceptables.
Se ha constatado que las notificaciones se
envían automáticamente a los administradores cuando ocurren problemas en una ruta
o enlaces); el multi-homing; los servidores
virtuales; el tunnel routing (servicios de
línea privada virtual), que permite VPN
multi-enlace entre dos ubicaciones. Posibilita crear túneles entre diferentes sitios,
de modo que permite protección y combinación de enlaces y es adecuado para la
implantación de intranets en organizaciones
que se encuentran distribuidas en diferentes partes geográficas. Las aplicaciones
Fig. 1.- Aspecto de las unidades hardware modelos
que requieren elevado ancho de banda de
AL5000 y AL700 de AscenLink de XTERA.
sesión única, como la vídeoconferencia o la
optimización WAN, pueden utilizar múltiples enlaces para
2) NAT (Network Address Translation).
construir el ancho de banda necesario. El tráfico multiPermite que cuando una conexión
sesión puede compartir un túnel de tamaño apropiado.
se establece desde una dirección IP
Los túneles presentan la misma funcionalidad que enlaces
privada (como LAN o DMZ) a Internet
únicos, soportando balanceo de carga, fall-back, fail-over
(WAN) la herramienta aquí evaluada
y detección de operatividad, tanto dentro como entre
traduce la IP privada en una IP pública
los túneles. La funcionalidad WLHD (WAN Link Health
y viceversa. El no-NAT se ha probaDetection) monitoriza constantemente las condiciones
do en redes privadas y MPLS donde
y estado de la red; tunnel-routing posibilita redireccioel computador en la WAN accede
nar de forma instantánea los paquetes desde un enlace
directamente al computador de la
con fallos hacia otro operativo; de este modo es posible
DMZ y donde la herramienta se utiliza
realizar el tráfico de grandes cantidades de información
para balancear carga VPN y líneas de
crítica de forma protegida. Por tanto, mediante balanceo
respaldo.
de paquetes en configuración VPN y la tolerancia a fallos,
3) Routing persistente. Se realiza
dos ubicaciones pueden establecer de forma simultánea
sobre conexiones seguras, como
múltiples conexiones VPN e incrementar el rendimiento
HTTPS/SSH, y posibilita que la direcy el acho de banda de las conexiones VPN entre los dos
ción IP origen permanezca sin cambios
sitios; en esta funcionalidad se da una agregación real de
durante una misma sesión. Es útil para
tráfico de bajada o subida por todas las líneas de la VPN.
aplicaciones que necesitan conexiones
Cuando un enlace WAN falla, la herramienta aquí evaseguras entre el servidor y el clienluada reencamina automáticamente el túnel VPN a otro
te, de modo que la conexión cliente
enlace WAN dentro del grupo de túneles, asegurando que
caerá si el servidor detecta diferentes
no se interrumpa la conexión VPN.
direcciones IP origen para el mismo
(4) Alta disponibilidad. Soporta una estructura maestro/
cliente durante una sesión autenticada
esclavo para casos de fallos de hardware. Dos dispositiy certificada.
vos (en la presente evaluación AL5000 y AL700) pueden
4) Balanceo de carga de enlaces satrabajar juntos, con el esclavo configurado igual que el
lientes (auto-routing). Permite determaestro. Si el maestro falla, el esclavo automáticamente
minar la forma en que se encamina el
toma el control, Se ha constatado que la configuración se
tráfico a los enlaces WAN. Se configura
realiza en uno de los dispositivos hardware y éste replica
en dos fases: políticas y filtros. Las
la misma en el otro.
SiC
/ Nº99 / ABRIL 2012
 Equipamiento para servidores
y sistemas finales de usuarios
y generadores de tráfico con
Windows (7, Vista, XP, 2008,
2003, 2000) y Linux (Red Hat
Enterprise, SuSe Linux, etc.),
PCs con procesador Intel Core
2 Quad, 3 GHz., con 4 Gb de
memoria, disco duro de 250
Gb, unidad DVD/CD-ROM, tarjeta gráfica WXGA, tarjeta NIC
de red 10/100/1000 Base T
compatible NE2000/NDIS. Navegadores Internet Explorer 8,
Mozilla Firefox. Servidores de
correo electrónico Microsoft
Exchange. Servidores Web y
DNS. Servidores Directorio
Activo-MS, LDAP y Radius.
Servidores de base de datos
Oracle. Servidores de ficheros
y Web. SIP-H.323/VoIP.
Clientes de correo electrónico
como Outlook. SNMP.
 Nueve redes locales, Ethernet
10/100/1000 BaseT con IEEE
802.2-LLC, como soporte
físico de las comunicaciones
con Protocolo de Control
de Acceso al Medio o MAC
CSMA/CD. Acceso a Internet.
Hubs/Switches de 16 puertos Ethernet 10/100/1000.
Módems analógicos para
RTB/RTC V.90/ITU-TSS (a 56
Kbps) y tarjetas digitales
RDSI-BE 2B+D/Acceso Básico-BRA como acceso conmutado al exterior y conexiones
ADSL/cable módem/MPLS.
Acceso GSM/GPRS/UMTS/
HSDPA. Router. Acceso con
líneas dedicadas E1/T1.
Firewall/VPN. Puntos de acceso Wi-Fi, IEEE 802.11g/b/
a/n. Impresoras. Smartphones. Tablets. Dos appliances
AscenLink modelos AL5000
y AL700.
 Analizador de protocolos
para monitorizar las comunicaciones intercambiadas
en todos los niveles de la
arquitectura. Módulos de
valoración de mecanismos
de control a nivel de gestión
de red, QoS, aplicaciones,
criptográficos de cifrado,
autenticación. Módulo de
valoración de criptoanálisis/
esteganoanálisis/optimización WAN.
 Módulo de pruebas para medidas de seguridad, latencia,
ancho de banda y rendimiento con diferentes cargas de
trabajo, número de usuarios
y flujos. Generadores de
tráfico con datos sensibles
ocultos. Baterías de ataques
contra la seguridad, el rendimiento, latencia y ancho
de banda de las aplicaciones
bajo control gestionable de
cargas de tráfico.
EFICIENCIA Y RENDIMIENTO DE RED:
MENÚ SERVICIO
Dentro del menú Servicio, se ha constatado
que los usuarios con autorización de administrador pueden acceder a las siguientes
funcionalidades:
1) Firewall. Permite añadir un número
ilimitado de reglas de filtrado a una lista con
priorización top-down. Esta funcionalidad
de protección posibilita definir acciones
como aceptar/denegar, establecer fuentes/destinos como grupos de direcciones IP,
subred, WAN, LAN, DMZ para servidores no
críticos, túnel, FQDN, etc., e interactuar con
servicios como SSH, H323, TCP, DNS, etc.
EQUIPOS UTILIZADOS
EN LA EVALUACIÓN
Fig. 2.- Interfaz de administración de AscenLink.
 Módulos de amenazas a la
gestión/control de red/aplicaciones vía información codificada, cifrada y esteganografiada con canales encubiertos y tráfico visible/invisible
con datos maliciosos.
121
políticas permiten al administra7) Límite de conexiones. Permite
dor seleccionar los algoritmos de
restringir el número de conexiones
balanceo de carga (round-robin,
para que permanezcan por debajo
por ruta óptima, por conexión,
de un cierto límite especificado.
etc.) a desplegar en los filtros. La
Cuando el número de conexiones
herramienta aquí evaluada utiliza
excede ese límite, el sistema auuna tabla de filtros para gestionar
tomáticamente registra (hace log)
el tráfico saliente por comparación
el evento. El límite de conexiones
en orden top-down. El autopuede detectar volúmenes muy
routing consulta la tabla de filtros
elevados de tráfico causados por
y comprueba si la conexión a estaataques maliciosos. La herramienblecer coincide con algún filtro de
ta aquí evaluada se ha constatala tabla, en caso afirmativo la podo que permite proteger la red
Fig. 3.- Pantalla para configurar servidor DNS con
lítica de routing asignada al filtro
rechazando conexiones que se
decidirá qué enlace WAN utilizará
encuentren por encima de un
AscenLink de XTERA.
la conexión. El auto-routing pocierto umbral.
sibilita distribuir múltiples enlaces
8) Redirección de caché. PermiWAN bajo el control de mecaniste trabajar con servidores caché
mos de balanceo de carga, que
externos (cada uno con diferentes
posibilitan ajustar de forma fina el
conjuntos de reglas). Cuando
tráfico distribuido a través de los
un usuario pide una página de
enlaces disponibles. Cada desplieun servidor web de Internet, la
gue puede personalizarse con una
herramienta evaluada redirecciona
asignación de tráfico de aplicación
la petición al servidor caché (que
especialmente flexible.
puede estar en la DMZ). Si la pá5) Servidor virtual. Posibilita que
gina web pedida ya se encuentra
los servidores de la intranet (en
en el servidor caché, la devolverá
la LAN o en la DMZ) sean acceal usuario, de modo que ahorra
sibles a Internet (a la WAN). Las
tiempo a la hora de recuperar
direcciones IP privadas asignadas
datos.
a los servidores de la intranet se
9) Multi-homing. Si bien la
hacen invisibles al entorno de red
funcionalidad de auto-routing
externo; sin embargo, los serviproporciona balanceo de carFig. 4.- Pantalla para VLAN y puertos con AscenLink.
cios son accesibles a usuarios de
ga y tolerancia a fallos para las
fuera de la intranet. Redirecciona
peticiones salientes, las peticiones
las peticiones externas a los servidores de la intranet consulentrantes se gestionan a través de la tecnología SwiftDNS,
tando la tabla del servidor virtual. Las reglas de dicha tabla
que es un servicio de multi-homing (el cual presenta dos
se priorizan de arriba abajo. Esta funcionalidad posibilita
opciones, DNS interna y DNS relay) que incluye balanceo de
el balanceo de carga entre varios servidores (o cluster de
carga y tolerancia a fallos para las peticiones entrantes. Para
servidores), consiguiendo que los servidores tengan un nivel
el multi-homing se necesitan redes que tengan varios enlaces
mayor de accesibilidad. El balanceo de carga de servidor y
WAN y nombres de dominio registrados para servidores
alta disponibilidad (servidores virtuales) permite balanaccesibles públicamente. Cuando la herramienta recibe una
ceo de carga simple de servidor y detección de operatividad
query DNS responde con una IP pública asignada a uno de
de servidor para servidores múltiples que ofrecen la misma
los enlaces WAN en base a las configuraciones de las políticas
aplicación. Cuando las peticiones de servicio son distribuidas
de respuesta. Las peticiones siguientes al servidor se enviarán
entre servidores, los servidores que son lentos o tienen fallos
a la IP pública del enlace WAN en base a la respuesta anterior.
se evitan y/o recuperan de forma automática. Se ha constaLas políticas se basan en el peso para cada enlace WAN y son
tado la posibilidad de un control granular y flexible por parte
definibles. El multi-homing puede detectar de forma automádel administrador para interactuar con los parámetros de
tica los mejores enlaces, dando lugar al optimum route. Si el
rendimiento.
enlace WAN falla, la IP pública asignada a ese enlace no se
6) BM (Bandwidth Management) entrante/saliente. Permidevolverá y los servidores serán alcanzables a través de otros
te controlar el flujo de red que
enlaces. El multi-homing (balanentra y sale de la intranet y asigna
ceo de carga de enlaces entranancho de banda a las aplicaciones
tes) permite balancear la carga de
utilizando clases y filtros. Para
peticiones y respuestas entrantes
proteger el ancho de banda de las
a través de múltiples enlaces
aplicaciones críticas la funcionaliWAN para mejorar la respuesta
dad BM define el ancho de banda
del usuario y la fiabilidad de red.
entrante y saliente basado en la
Los mecanismos de balanceo de
dirección del tráfico. Si se toma la
carga permiten que los servicios
herramienta aquí evaluada como
de prioridad se mantengan y
centro, el tráfico que fluye de la
den el ancho de banda upstream
WAN a la LAN es entrante y el
apropiado a la organización (que
contrario es saliente. Para mejohospede servidores de correo u
rar el ancho de banda se utilizan
otros servicios de acceso público).
configuraciones de prioridad y se
10) DNS interno. La herramienta
gestiona el tráfico configurando
aquí evaluada soporta un servidor
aspectos como tipo de servicio,
DNS interno configurable, que
horas de ocupado/libre, origen/
permite tener dados de alta los
destino de datos, etc.
registros MX, CNAME, A, etc.
Fig. 5.- Pantalla de diagnóstico con AscenLink.
122
ABRIL 2012 / Nº99 /
SiC
XTERA AscenLink
11) SNMP. La herramienta aquí
valorada soporta SNMP versiones
1, 2 y 3, lo que le permite gestionar redes TCP/IP proporcionando
datos estadísticos relacionados
entre otros aspectos, como la
seguridad, fallos, configuración,
contabilidad y el rendimiento.
12) Correspondencias entre
IP-MAC. Los usuarios pueden
especificar una tabla de correspondencias entre direcciones IP
y direcciones MAC, clasificando
períodos como horas punta,
horas de inactividad, etc. Una vez
establecida esta tabla, un paquete
IP de una cierta dirección IP podrá
pasar solo cuando su dirección
MAC coincida con alguna de las
especificaciones de la tabla.
Permite inspeccionar el número
de conexiones establecidas en
tiempo real y así poder justificar
el número máximo de conexiones
permitidas para evitar situaciones
de congestión de red.
(11) Estado del servidor virtual.
Visualiza estadísticas sobre el
servicio de su mismo nombre.
Fig. 6.- Interfaz WLHD con AscenLink de XTERA.
LOG. LINKREPORT. SISTEMA
A través de Log se pueden
registrar datos acerca de los
distintos componentes existentes:
sistema, firewall, routing, ancho
de banda, etc., y reenviarlos a
otros servidores externos para su
archivo y notificación de eventos.
El software de análisis basado
en Web denominado LinkReport
permite una visión del tráfico de
SISTEMA DE VIGILANCIA DE
red a través de grandes volúmenes
RED: ESTADÍSTICAS
de datos de log. Dentro de Log,
se ha constatado que los usuarios
La herramienta aquí evaluada perFig. 7.- Interfaz servicio firewall con AscenLink.
con autorización de administrador
mite generar estadísticas en tiempueden acceder a los siguientes
po real como estado de los enlarecursos:
ces WAN, clasificación del tráfico,
1) View. Permite elegir entre los
estadísticas de tráfico de túnel,
tipos de log y sus eventos y mosde estado del servidor virtual, de
trar online los eventos actuales.
límite de conexiones, información
2) Control. Envía datos a servidodel interfaz de red, etc. Dentro de
res externos vía FTP o SMTP para
Estadísticas, se ha constatado que
su archivo y análisis.
los usuarios con autorización de
3) Notificación. Permite estableadministrador pueden realizar las
cer métodos en el caso de eventos
siguientes tareas:
importantes para notificar por
(1) Tráfico. Permite ordenar y
trap-snmp y SMTP.
visualizar tráfico en tiempo real.
4) LinkReport. Controla la forma
Las estadísticas se analizan en
Fig. 8.- Interfaz del servidor virtual con AscenLink.
de comunicar los log con el
base a conexión WAN individual y
servidor LinkReport. El análisis de
dirección del tráfico.
los ficheros de log se realiza en el computador donde reside
(2) BM. Posibilita realizar análisis de tráfico incluso a largo
LinkReport y no en el interfaz de usuario Web de la herraplazo, de minutos a meses.
mienta aquí evaluada.
(3) Routing persistente. Permite ver y “resetear” manualDentro del menú Sistema, se ha constatado que se pueden
mente conexiones.
realizar las siguientes tareas:
(4) WLHD (WAN Link Health Detection). Muestra los resulta(1) Sumario. Visualiza información del propio sistema, de
dos de WLHD relacionados con la fiabilidad de una conexión
la licencia, del estado del enlace WAN y sobre el modo alta
WAN concreta.
disponibilidad cuando se trabaja con dos unidades hardware.
(5) Enlaces WAN de IP dinámica. Muestra detalles de
(2) Configuración de red. Permite configurar WAN y LAN en
estos enlaces como dirección IP obtenida de PPPoE o DHCP;
aspectos como DNS, VLAN, WAN/DMZ, etc.
también permite crear nuevas direcciones IP y reestablecer
(3) WLHD. Permite establecer
conexiones a la WAN.
criterios específicos a cada enlace
(6) Servidor DHCP. Muestra datos
o grupo de enlaces WAN. (4) Dede asignaciones DHCP, como ditección de ruta óptima. Posibilita
rección IP y MAC, cliente-nombre
configurar valores para optimizar
del host y tiempo de expiración.
la conexión entre múltiples ISP.
(7) Estado de RIP y OSPF.
(5) Configuración de la velocidad
Muestra datos que se utilizan para
de los puertos (por defecto esta
inspeccionar IP de red, máscaras
en autodetección) y el modo de
de red y lista de pasarela de subretransferencia dúplex.
des privadas.
(6) Configuración de líneas de
(8) Estado del túnel. Muestra daback-up. Permite habilitar/inhabilitos del tunnel routing en el último
tar líneas de respaldo.
intervalo de tiempo pasado.
(7) Grupos IP. Posibilita crear y
(9) Tráfico del túnel. Muestra
gestionar grupos de IPs.
estadísticas del tráfico entrante/
(8) Grupos de servicios.
saliente relacionado con el tunnel
(9) Configuración de horas de
routing en el último intervalo de
ocupación. Se utiliza para la
tiempo pasado.
gestión del ancho de banda.
(10) Límite de conexiones.
Fig. 9.- Pantalla de multi-homing con AscenLink.
SiC
/ Nº99 / ABRIL 2012
123
(10) Herramientas de diagnósración con firewall externos. Los
tico. Incluye entre otras tcpresultados de la evaluación han
dump para captura de paquetes
sido del 95,2%. Los resultados
sobre interfaces, ping para
de las pruebas de rendimiento
conocer la accesibilidad, arping
han conducido a valores en
para mostrar la tabla ARP, test
torno al 95% ante pruebas de
de conflictos IP, traceroute,
estrés y fatiga con gradientes de
nslookup, etc.
carga prolongados y fallos. Los
(11) Configuración de fecha/
resultados de las pruebas con
hora y zona horaria.
WLHD han sido satisfactorios,
(12) Asistencia remota. Permite
del 91,2% en el peor de los cala entrada al sistema al personal
sos. La valoración de la genetécnico de Xtera en caso de
ración de diferentes informes
averías. Opera con los puertos
para sus servicios, así como una
TCP 443 y 23 SSH.
monitorización de rendimiento
(13) Administración. Permite
de cada enlace WAN en tiempo
realizar tareas como cambio de
real, que posibilita una visualizaFig. 10.- Interfaz de notificación con AscenLink de XTERA.
contraseñas, modificación de los
ción de consumo de caudal por
puertos como el del interfaz de usuario, llevar a cabo labores
cada WAN, ha sido del 94,9%.
de actualización del firmware, realizar operaciones de copia
Los resultados en relación al número máximo de enlaces
de seguridad de ficheros de configuración, etc.
WAN utilizables sin degradación significativa han sido de
cincuenta para el AL5000 y de veinticinco para el AL700. La
CONSIDERACIONES FINALES
valoración de los test sobre alta disponibilidad ha sido satisfactoria, con resultados del 95%.
Se ha sometido la presente herramienta durante veinte días a
Los resultados de la valoración de gestión de la herramienta
un continuado y exhaustivo conjunto de pruebas y diferentes
han sido del 94,9% y la del sistema de alertas planificadas y
baterías de test. Se ha evaluado la herramienta hardwarede informes planificados que puede enviar por correo electrósoftware con resultados globales en funcionamiento, protecnico o integrarlo con sistemas de gestión vía SNMP ha sido
ción, gestión y rendimiento en torno al 95%.
del 95,7%. Igualmente, los resultados de los test y baterías
Se han realizado diversos test en diferentes escenarios
de pruebas en relación a la latencia con aplicaciones senside despliegue tipo WAN-LAN con DMZ, firewall externo,
bles al tiempo han sido aptos, y los obtenidos de las pruebas
infraestructura VLAN, direcciones IP estáticas y dinámicas: (i)
side-channels efectuadas han sido satisfactorios: para análisis
Modo bridge con una o varias IP estáticas, con PPPoE y con
de timing, 90%; para análisis de potencia DPA (Differential
cliente DHCP. (ii) Modo routing con uno o múltiples enlaces
Power Analysis), 89%; para el análisis de fallos, 91%; y basaWAN. En este caso el ISP proporciona un segmento de red al
dos en radiación EM, el 91,2%. La valoración de los mecanisusuario con una o varias líneas WAN hacia la o las herramienmos de agregación de líneas en entornos completos ha sido
tas y con el uso de direcciones estáticas y dinámicas (caso de
del 91,3%, y los de los test relacionados con las pruebas del
pruebas de túnel routing, agregación de líneas, alta disponitúnel routing han sido satisfactorias, del 94,2%, con cargas
bilidad/fail-over, etc.).
de tráfico del 82% y fallos sistemáticos. La valoración de las
Se han realizado subredes privadas con RIP, OSPF. Los resulpruebas de escalabilidad ha sido del 95,1%, y los resultados
tados de la evaluación han sido del 94,8%. (iii) Modo colabode los test a los servicios del 94,9%. 
CONCLUSIONES
Objetivo: herramienta de seguridad de red de naturaleza hardware-software del tipo edge-server compuesto por diversas funcionalidades de gestión-seguridad de
red como firewall/NAT/ACL/DMZ, routing persistente, balanceo de carga de tráfico entrante y saliente, servidor virtual, gestión del ancho de banda, túnel routing,
alta disponibilidad, fail-over, etc. Se gestiona de forma centralizada desde un interfaz de usuario basado en Web, desde el que se puede interaccionar con LinkReport para generar informes, diagnósticos y diversas estadísticas como estado multi-homing, uso del ancho de banda, fallo enlaces WAN, etc.
Puntualizaciones/limitaciones: utiliza un servidor NTP para la sincronización temporal. El estado de la conexión de un enlace WAN se detecta utilizando paquetes
TCP e ICMP. Solo admite un administrador y cinco monitores para acceder al interfaz de usuario Web. Gestiona la mayor parte de sus reglas/filtros/políticas con
el método de evaluación top-down, donde las reglas se priorizan en orden decreciente. Si la contraseña de administrador se pierde u olvida, se debe utilizar una
conexión local a la unidad hardware a través del puerto de consola serie RS232, y con el software hyperterminal establecer log con el nombre de usuario/contraseña Administrador/ascenlink y realizar el comando resetpasswd para restaurar la contraseña por defecto de fábrica. Opera bajo el sistema operativo LinkOS, soporta
puertos Ethernet 10/100/1000 Mbps. La redirección de caché ha sido apta. Posibles nuevas funcionalidades a integrar en el interfaz Web de usuario. Limitación en
el tamaño del fichero de configuración IP Group. Se observan numerosos checkbox en el interfaz de usuario para habilitar o inhabilitar las diversas funciones.
Impacto de su utilización: incluye un circuito virtual trunk interno, que es una combinación de varios enlaces WAN; el autorouting permite ajustar el virtual trunk para
incluir solo los enlaces WAN operativos y dirigir el tráfico saliente a través del circuito virtual trunk de forma automática. Permite agregar múltiples ISP para balanceo de carga y fail-over. El visualizador LCD del AL5000 permite mostrar el uso de CPU/memoria, el número de conexiones, las direcciones IP y el ancho de banda
entrante y saliente. Para acceder al interfaz de usuario Web en el navegador se debe inhabilitar proxy server.
Prestaciones/ventajas específicas: los usuarios de red no se dan cuenta de los cambios de estado de los enlaces WAN debidos a un
posible malfuncionamiento de ellos. Las sesiones de comunicación entre el PC del interfaz de usuario y la herramienta evaluada
son cifradas bajo HTTPS. Soporta virtual server y balanceo de carga de servidor simple, lo cual permite una presentación de los
EQUIPO DE EVALUACIÓN
servicios externos a los clientes de forma uniforme. Permite operar con DNS interno y relay. Incorpora mecanismos de routing
de buena granularidad. Soporta VLAN, VPN, DMZ. Presenta un rendimiento y una fiabilidad satisfactorias.
Prof. Dr. Javier Areitio
Documentación: apta. Utilización de ficheros .pdf.
Bertolín
Estructuración de la herramienta: (i) Dos unidades hardware AL5000 y AL700 para pruebas de túnel routing, agregación de
Catedrático de la Facultad
líneas, etc. (ii) Software AscentLink y LinkReport para la generación de informes.
de Ingeniería.
Calificación final del producto: Herramienta escalable de seguridad-gestión de red de naturaleza hardware-software que integra
Director del Grupo
diversas funcionalidades como firewall (DMZ, ACL con protección del nivel de aplicación), multi-homing, balanceo de carga bide Investigación
direccional, gestor de ancho de banda, auto-routing versátil, tolerancia a fallos de enlaces, alta disponibilidad, etc. Se gestiona
Redes y Sistemas.
de forma centralizada con un interfaz de usuario basado en Web sencillo. El funcionamiento de los mecanismos de autoUNIVERSIDAD
routing, como balanceador de carga para tráfico saliente y de multi-homing para el tráfico entrante, presentan un funcionaDE DEUSTO
miento adecuado. Soporta despliegues entre sucursales bastante flexibles y posibilita una gestión satisfactoria con túneles VPN.
Opera con LinkReport para ampliar las funcionalidades de los recursos de gestión y proporcionar informes útiles.
124
ABRIL 2012 / Nº99 /
SiC