120 ABRI L 2012 / N 99 / Si C

XTERA AscenLink
AscenLink, de Xtera, es una herramienta hardware-
software escalable de seguridad-gestin de red, con una
abilidad y rendimiento satisfactorios, que integra diversas
funcionalidades, como rewall (DMZ, ACL con proteccin
del nivel de aplicacin), multi-homing, balanceo de carga
bidireccional, gestor de ancho de banda, auto-routing
verstil, tolerancia a fallos de enlaces, alta disponibilidad,
etc. Se gestiona de forma centralizada con un interfaz de
usuario basado en web sencillo.
En el presente laboratorio se identica, examina, analiza, valora y evala una herramienta de
seguridad de red de naturaleza hardware-software del tipo edge-server, que integra diversas
funcionalidades tanto de proteccin como de gestin de red que impactan en la mejora
de la QoS, como balanceo de carga bidireccional WAN (Wide Area Network), auto-routing,
tolerancia a fallos de enlaces, multi-homing, tunnel routing, gestin de ancho de banda (BM)
y rewall (con NAT/DMZ/ACL y proteccin del nivel de aplicacin: IM/Skype, P2P/Gnutella,
VoIP/SIP-H323). Se gestiona de forma centralizada utilizando un interfaz de usuario basado en
Web. Opera sobre redes con mltiples lneas para acceder a Internet, y trabaja con la pila de
protocolos TCP/IP, puertos 10/100/1000 Mbps y aplicaciones incluso sensibles al retardo (VoIP,
videoconferencias, ERP/CRM, eLearning), bases de datos, portales Web, etc. Posibilita mejorar
el ancho de banda en base al balanceo de carga de trco cifrado VPN, permite trabajar con
VLAN/Tagging-IEEE802.1Q y soporta diversos tipos de conexiones con el ISP (Internet Service
Provider), como lneas dedicadas, Frame Relay, xDSL-IP dinmica, UMTS, FTTB/FTTH, PPTP, PPPoE,
MPLS, etc. Se puede integrar con sistemas SNMP.
IDENTIFICACIN DE LA HERRAMIENTA. PRINCIPALES
CARACTERSTICAS
La herramienta de seguridad de naturaleza hardware-
software AscenLink de Xtera Communications se cata-
loga como un sistema multifuncional de seguridad para
redes multienlace. Se suele ubicar en la frontera entre una
WAN y una LAN. Las caractersticas ms relevantes cons-
tatadas en la presente herramienta a evaluar son:
(1) Escalabilidad. Permite agregar
lneas, incluso de pequeo ancho de
banda y ms antiguas, para mejorar la
transmisin de datos sin necesidad de
cambios de direcciones de red impor-
tantes. Puede soportar velocidades de
Gbps (Gigabit por segundo) para co-
nectividad con servicios LAN e ISPs, as
como mltiples conexiones WAN, y to-
dos los puertos Ethernet pueden progra-
marse como puertos LAN, WAN o DMZ. El caudal de red
puede aumentarse va actualizacin de la clave de licencia
sin necesidad de reemplazar el hardware. Soporta tecno-
loga SwiftNAT para la traduccin dinmica de direcciones
IP de diferentes ISP. Soporta la posibilidad de disponer de
varios servidores Web con el mismo contenido, soportan-
do balanceo de carga a los mismos. Se ha constatado que
se pueden establecer mltiples conexiones pass-through
para direcciones IP pblicas y encaminarlas en entradas a
distintos servidores de la red interna.
(2) Gestin centralizada. Utiliza un interfaz de usuario
basado en Web en el que se identica un men opera-
tivo formado por cinco funciones principales: sistema,
servicio, estadsticas, log y lenguaje, cada una dividida a
su vez en submens. La herramienta aqu evaluada y su
package de informes LinkReport (que es un sistema de
generacin de informes externo el cual permite realizar
anlisis de trco a nivel de tipo y utilizacin a corto y
largo plazo, posibilitando una generacin regular de
informes a los administradores) proporcionan diversos
elementos a la hora de la monitorizacin del rendimien-
to de red y la generacin de informes. Los informes de
calidad y de utilizacin no solo permiten una gestin de
cara a reaccionar ante los problemas de red, sino que
tambin permiten planicar la capacidad de red mejoran-
do el rendimiento de la misma. Se ha constatado que los
cambios de conguracin se guardan sin necesidad de
rearrancar el sistema; asimismo, los cheros de congura-
cin se pueden almacenar y recuperar de forma remota.
Las medidas sobre trco, alarmas, logs y otros datos de
gestin se guardan con vistas a poder realizar anlisis de
tendencias y operaciones de gestin. Posibilita obtener
diferentes tipos de informes para sus servicios, as como
una monitorizacin de rendimiento de cada enlace WAN
en tiempo real. Dispone de un sistema de alertas y de
informes planicados que se pueden enviar por correo
electrnico o integrarlo con sistemas de gestin de red
utilizando SNMP.
(3) Mltiples funcionalidades en forma de servicios.
Se han constatado, entre otras, funcionalidades como:
el auto-routing; el routing ptimo (que monitoriza
de forma continua la red pblica
Internet para seleccionar la ruta
ms corta y rpida para aplicaciones
de misin crtica, como VoIP. El tr-
co no crtico puede encaminarse por
otros enlaces cuando existe trco
priorizado o asignarse permanente-
mente a diferentes grupos de enlaces
WAN); la tolerancia a fallos con
fail-over/fall-back automtico (que
detecta fallos del enlace de acceso
local y fallos extremo a extremo en la
red y puede, bien fall-back a enlaces
WAN que queden o fall-over a enla-
121 Si C / N 99 / ABRI L 2012
ces WAN redundantes. El comportamiento
fall-back/fall-over est bajo el control del
administrador y se basa en reglas de bas-
tante exibilidad para satisfacer diferentes
situaciones que puedan ocurrir. Los enlaces y
rutas se recuperan automticamente cuando
el rendimiento vuelve a niveles aceptables.
Se ha constatado que las noticaciones se
envan automticamente a los administrado-
res cuando ocurren problemas en una ruta
o enlaces); el multi-homing; los servidores
virtuales; el tunnel routing (servicios de
lnea privada virtual), que permite VPN
multi-enlace entre dos ubicaciones. Posi-
bilita crear tneles entre diferentes sitios,
de modo que permite proteccin y com-
binacin de enlaces y es adecuado para la
implantacin de intranets en organizaciones
que se encuentran distribuidas en diferen-
tes partes geogrcas. Las aplicaciones
que requieren elevado ancho de banda de
sesin nica, como la vdeoconferencia o la
optimizacin WAN, pueden utilizar mltiples enlaces para
construir el ancho de banda necesario. El trco multi-
sesin puede compartir un tnel de tamao apropiado.
Los tneles presentan la misma funcionalidad que enlaces
nicos, soportando balanceo de carga, fall-back, fail-over
y deteccin de operatividad, tanto dentro como entre
los tneles. La funcionalidad WLHD (WAN Link Health
Detection) monitoriza constantemente las condiciones
y estado de la red; tunnel-routing posibilita redireccio-
nar de forma instantnea los paquetes desde un enlace
con fallos hacia otro operativo; de este modo es posible
realizar el trco de grandes cantidades de informacin
crtica de forma protegida. Por tanto, mediante balanceo
de paquetes en conguracin VPN y la tolerancia a fallos,
dos ubicaciones pueden establecer de forma simultnea
mltiples conexiones VPN e incrementar el rendimiento
y el acho de banda de las conexiones VPN entre los dos
sitios; en esta funcionalidad se da una agregacin real de
trco de bajada o subida por todas las lneas de la VPN.
Cuando un enlace WAN falla, la herramienta aqu eva-
luada reencamina automticamente el tnel VPN a otro
enlace WAN dentro del grupo de tneles, asegurando que
no se interrumpa la conexin VPN.
(4) Alta disponibilidad. Soporta una estructura maestro/
esclavo para casos de fallos de hardware. Dos dispositi-
vos (en la presente evaluacin AL5000 y AL700) pueden
trabajar juntos, con el esclavo congurado igual que el
maestro. Si el maestro falla, el esclavo automticamente
toma el control, Se ha constatado que la conguracin se
realiza en uno de los dispositivos hardware y ste replica
la misma en el otro.
EFICIENCIA Y RENDIMIENTO DE RED:
MEN SERVICIO
Dentro del men Servicio, se ha constatado
que los usuarios con autorizacin de admi-
nistrador pueden acceder a las siguientes
funcionalidades:
1) Firewall. Permite aadir un nmero
ilimitado de reglas de ltrado a una lista con
priorizacin top-down. Esta funcionalidad
de proteccin posibilita denir acciones
como aceptar/denegar, establecer fuen-
tes/destinos como grupos de direcciones IP,
subred, WAN, LAN, DMZ para servidores no
crticos, tnel, FQDN, etc., e interactuar con
servicios como SSH, H323, TCP, DNS, etc.
XTERA AscenLink
EQUIPOS UTILIZADOS
EN LA EVALUACIN
2) NAT (Network Address Translation).
Permite que cuando una conexin
se establece desde una direccin IP
privada (como LAN o DMZ) a Internet
(WAN) la herramienta aqu evaluada
traduce la IP privada en una IP pblica
y viceversa. El no-NAT se ha proba-
do en redes privadas y MPLS donde
el computador en la WAN accede
directamente al computador de la
DMZ y donde la herramienta se utiliza
para balancear carga VPN y lneas de
respaldo.
3) Routing persistente. Se realiza
sobre conexiones seguras, como
HTTPS/SSH, y posibilita que la direc-
cin IP origen permanezca sin cambios
durante una misma sesin. Es til para
aplicaciones que necesitan conexiones
seguras entre el servidor y el clien-
te, de modo que la conexin cliente
caer si el servidor detecta diferentes
direcciones IP origen para el mismo
cliente durante una sesin autenticada
y certicada.
4) Balanceo de carga de enlaces sa-
lientes (auto-routing). Permite deter-
minar la forma en que se encamina el
trco a los enlaces WAN. Se congura
en dos fases: polticas y ltros. Las
Equipamiento para servidores
y sistemas nales de usuarios
y generadores de trco con
Windows (7, Vista, XP, 2008,
2003, 2000) y Linux (Red Hat
Enterprise, SuSe Linux, etc.),
PCs con procesador Intel Core
2 Quad, 3 GHz., con 4 Gb de
memoria, disco duro de 250
Gb, unidad DVD/CD-ROM, tar-
jeta grca WXGA, tarjeta NIC
de red 10/100/1000 Base T
compatible NE2000/NDIS. Na-
vegadores Internet Explorer 8,
Mozilla Firefox. Servidores de
correo electrnico Microsoft
Exchange. Servidores Web y
DNS. Servidores Directorio
Activo-MS, LDAP y Radius.
Servidores de base de datos
Oracle. Servidores de cheros
y Web. SIP-H.323/VoIP.
Clientes de correo electrnico
como Outlook. SNMP.
Nueve redes locales, Ethernet
10/100/1000 BaseT con IEEE
802.2-LLC, como soporte
fsico de las comunicaciones
con Protocolo de Control
de Acceso al Medio o MAC
CSMA/CD. Acceso a Internet.
Hubs/Switches de 16 puer-
tos Ethernet 10/100/1000.
Mdems analgicos para
RTB/RTC V.90/ITU-TSS (a 56
Kbps) y tarjetas digitales
RDSI-BE 2B+D/Acceso Bsi-
co-BRA como acceso conmu-
tado al exterior y conexiones
ADSL/cable mdem/MPLS.
Acceso GSM/GPRS/UMTS/
HSDPA. Router. Acceso con
lneas dedicadas E1/T1.
Firewall/VPN. Puntos de ac-
ceso Wi-Fi, IEEE 802.11g/b/
a/n. Impresoras. Smartpho-
nes. Tablets. Dos appliances
AscenLink modelos AL5000
y AL700.
Analizador de protocolos
para monitorizar las comu-
nicaciones intercambiadas
en todos los niveles de la
arquitectura. Mdulos de
valoracin de mecanismos
de control a nivel de gestin
de red, QoS, aplicaciones,
criptogrcos de cifrado,
autenticacin. Mdulo de
valoracin de criptoanlisis/
esteganoanlisis/optimiza-
cin WAN.
Mdulo de pruebas para me-
didas de seguridad, latencia,
ancho de banda y rendimien-
to con diferentes cargas de
trabajo, nmero de usuarios
y ujos. Generadores de
trco con datos sensibles
ocultos. Bateras de ataques
contra la seguridad, el ren-
dimiento, latencia y ancho
de banda de las aplicaciones
bajo control gestionable de
cargas de trco.
Mdulos de amenazas a la
gestin/control de red/aplica-
ciones va informacin codi-
cada, cifrada y esteganogra-
ada con canales encubier-
tos y trco visible/invisible
con datos maliciosos.
Fig. 1.- Aspecto de las unidades hardware modelos
AL5000 y AL700 de AscenLink de XTERA.
Fig. 2.- Interfaz de administracin de AscenLink.
122 ABRI L 2012 / N 99 / Si C
polticas permiten al administra-
dor seleccionar los algoritmos de
balanceo de carga (round-robin,
por ruta ptima, por conexin,
etc.) a desplegar en los ltros. La
herramienta aqu evaluada utiliza
una tabla de ltros para gestionar
el trco saliente por comparacin
en orden top-down. El auto-
routing consulta la tabla de ltros
y comprueba si la conexin a esta-
blecer coincide con algn ltro de
la tabla, en caso armativo la po-
ltica de routing asignada al ltro
decidir qu enlace WAN utilizar
la conexin. El auto-routing po-
sibilita distribuir mltiples enlaces
WAN bajo el control de mecanis-
mos de balanceo de carga, que
posibilitan ajustar de forma na el
trco distribuido a travs de los
enlaces disponibles. Cada desplie-
gue puede personalizarse con una
asignacin de trco de aplicacin
especialmente exible.
5) Servidor virtual. Posibilita que
los servidores de la intranet (en
la LAN o en la DMZ) sean acce-
sibles a Internet (a la WAN). Las
direcciones IP privadas asignadas
a los servidores de la intranet se
hacen invisibles al entorno de red
externo; sin embargo, los servi-
cios son accesibles a usuarios de
fuera de la intranet. Redirecciona
las peticiones externas a los servidores de la intranet consul-
tando la tabla del servidor virtual. Las reglas de dicha tabla
se priorizan de arriba abajo. Esta funcionalidad posibilita
el balanceo de carga entre varios servidores (o cluster de
servidores), consiguiendo que los servidores tengan un nivel
mayor de accesibilidad. El balanceo de carga de servidor y
alta disponibilidad (servidores virtuales) permite balan-
ceo de carga simple de servidor y deteccin de operatividad
de servidor para servidores mltiples que ofrecen la misma
aplicacin. Cuando las peticiones de servicio son distribuidas
entre servidores, los servidores que son lentos o tienen fallos
se evitan y/o recuperan de forma automtica. Se ha consta-
tado la posibilidad de un control granular y exible por parte
del administrador para interactuar con los parmetros de
rendimiento.
6) BM (Bandwidth Management) entrante/saliente. Permi-
te controlar el ujo de red que
entra y sale de la intranet y asigna
ancho de banda a las aplicaciones
utilizando clases y ltros. Para
proteger el ancho de banda de las
aplicaciones crticas la funcionali-
dad BM dene el ancho de banda
entrante y saliente basado en la
direccin del trco. Si se toma la
herramienta aqu evaluada como
centro, el trco que uye de la
WAN a la LAN es entrante y el
contrario es saliente. Para mejo-
rar el ancho de banda se utilizan
conguraciones de prioridad y se
gestiona el trco congurando
aspectos como tipo de servicio,
horas de ocupado/libre, origen/
destino de datos, etc.
7) Lmite de conexiones. Permite
restringir el nmero de conexiones
para que permanezcan por debajo
de un cierto lmite especicado.
Cuando el nmero de conexiones
excede ese lmite, el sistema au-
tomticamente registra (hace log)
el evento. El lmite de conexiones
puede detectar volmenes muy
elevados de trco causados por
ataques maliciosos. La herramien-
ta aqu evaluada se ha constata-
do que permite proteger la red
rechazando conexiones que se
encuentren por encima de un
cierto umbral.
8) Redireccin de cach. Permi-
te trabajar con servidores cach
externos (cada uno con diferentes
conjuntos de reglas). Cuando
un usuario pide una pgina de
un servidor web de Internet, la
herramienta evaluada redirecciona
la peticin al servidor cach (que
puede estar en la DMZ). Si la p-
gina web pedida ya se encuentra
en el servidor cach, la devolver
al usuario, de modo que ahorra
tiempo a la hora de recuperar
datos.
9) Multi-homing. Si bien la
funcionalidad de auto-routing
proporciona balanceo de car-
ga y tolerancia a fallos para las
peticiones salientes, las peticiones
entrantes se gestionan a travs de la tecnologa SwiftDNS,
que es un servicio de multi-homing (el cual presenta dos
opciones, DNS interna y DNS relay) que incluye balanceo de
carga y tolerancia a fallos para las peticiones entrantes. Para
el multi-homing se necesitan redes que tengan varios enlaces
WAN y nombres de dominio registrados para servidores
accesibles pblicamente. Cuando la herramienta recibe una
query DNS responde con una IP pblica asignada a uno de
los enlaces WAN en base a las conguraciones de las polticas
de respuesta. Las peticiones siguientes al servidor se enviarn
a la IP pblica del enlace WAN en base a la respuesta anterior.
Las polticas se basan en el peso para cada enlace WAN y son
denibles. El multi-homing puede detectar de forma autom-
tica los mejores enlaces, dando lugar al optimum route. Si el
enlace WAN falla, la IP pblica asignada a ese enlace no se
devolver y los servidores sern alcanzables a travs de otros
enlaces. El multi-homing (balan-
ceo de carga de enlaces entran-
tes) permite balancear la carga de
peticiones y respuestas entrantes
a travs de mltiples enlaces
WAN para mejorar la respuesta
del usuario y la abilidad de red.
Los mecanismos de balanceo de
carga permiten que los servicios
de prioridad se mantengan y
den el ancho de banda upstream
apropiado a la organizacin (que
hospede servidores de correo u
otros servicios de acceso pblico).
10) DNS interno. La herramienta
aqu evaluada soporta un servidor
DNS interno congurable, que
permite tener dados de alta los
registros MX, CNAME, A, etc.
Fig. 3.- Pantalla para congurar servidor DNS con
AscenLink de XTERA.
Fig. 4.- Pantalla para VLAN y puertos con AscenLink.
Fig. 5.- Pantalla de diagnstico con AscenLink.
123 Si C / N 99 / ABRI L 2012
11) SNMP. La herramienta aqu
valorada soporta SNMP versiones
1, 2 y 3, lo que le permite gestio-
nar redes TCP/IP proporcionando
datos estadsticos relacionados
entre otros aspectos, como la
seguridad, fallos, conguracin,
contabilidad y el rendimiento.
12) Correspondencias entre
IP-MAC. Los usuarios pueden
especicar una tabla de corres-
pondencias entre direcciones IP
y direcciones MAC, clasicando
perodos como horas punta,
horas de inactividad, etc. Una vez
establecida esta tabla, un paquete
IP de una cierta direccin IP podr
pasar solo cuando su direccin
MAC coincida con alguna de las
especicaciones de la tabla.
SISTEMA DE VIGILANCIA DE
RED: ESTADSTICAS
La herramienta aqu evaluada per-
mite generar estadsticas en tiem-
po real como estado de los enla-
ces WAN, clasicacin del trco,
estadsticas de trco de tnel,
de estado del servidor virtual, de
lmite de conexiones, informacin
del interfaz de red, etc. Dentro de
Estadsticas, se ha constatado que
los usuarios con autorizacin de
administrador pueden realizar las
siguientes tareas:
(1) Trco. Permite ordenar y
visualizar trco en tiempo real.
Las estadsticas se analizan en
base a conexin WAN individual y
direccin del trco.
(2) BM. Posibilita realizar anlisis de trco incluso a largo
plazo, de minutos a meses.
(3) Routing persistente. Permite ver y resetear manual-
mente conexiones.
(4) WLHD (WAN Link Health Detection). Muestra los resulta-
dos de WLHD relacionados con la abilidad de una conexin
WAN concreta.
(5) Enlaces WAN de IP dinmica. Muestra detalles de
estos enlaces como direccin IP obtenida de PPPoE o DHCP;
tambin permite crear nuevas direcciones IP y reestablecer
conexiones a la WAN.
(6) Servidor DHCP. Muestra datos
de asignaciones DHCP, como di-
reccin IP y MAC, cliente-nombre
del host y tiempo de expiracin.
(7) Estado de RIP y OSPF.
Muestra datos que se utilizan para
inspeccionar IP de red, mscaras
de red y lista de pasarela de subre-
des privadas.
(8) Estado del tnel. Muestra da-
tos del tunnel routing en el ltimo
intervalo de tiempo pasado.
(9) Trco del tnel. Muestra
estadsticas del trco entrante/
saliente relacionado con el tunnel
routing en el ltimo intervalo de
tiempo pasado.
(10) Lmite de conexiones.
Permite inspeccionar el nmero
de conexiones establecidas en
tiempo real y as poder justicar
el nmero mximo de conexiones
permitidas para evitar situaciones
de congestin de red.
(11) Estado del servidor virtual.
Visualiza estadsticas sobre el
servicio de su mismo nombre.
LOG. LINKREPORT. SISTEMA
A travs de Log se pueden
registrar datos acerca de los
distintos componentes existentes:
sistema, rewall, routing, ancho
de banda, etc., y reenviarlos a
otros servidores externos para su
archivo y noticacin de eventos.
El software de anlisis basado
en Web denominado LinkReport
permite una visin del trco de
red a travs de grandes volmenes
de datos de log. Dentro de Log,
se ha constatado que los usuarios
con autorizacin de administrador
pueden acceder a los siguientes
recursos:
1) View. Permite elegir entre los
tipos de log y sus eventos y mos-
trar online los eventos actuales.
2) Control. Enva datos a servido-
res externos va FTP o SMTP para
su archivo y anlisis.
3) Noticacin. Permite estable-
cer mtodos en el caso de eventos
importantes para noticar por
trap-snmp y SMTP.
4) LinkReport. Controla la forma
de comunicar los log con el
servidor LinkReport. El anlisis de
los cheros de log se realiza en el computador donde reside
LinkReport y no en el interfaz de usuario Web de la herra-
mienta aqu evaluada.
Dentro del men Sistema, se ha constatado que se pueden
realizar las siguientes tareas:
(1) Sumario. Visualiza informacin del propio sistema, de
la licencia, del estado del enlace WAN y sobre el modo alta
disponibilidad cuando se trabaja con dos unidades hardware.
(2) Conguracin de red. Permite congurar WAN y LAN en
aspectos como DNS, VLAN, WAN/DMZ, etc.
(3) WLHD. Permite establecer
criterios especcos a cada enlace
o grupo de enlaces WAN. (4) De-
teccin de ruta ptima. Posibilita
congurar valores para optimizar
la conexin entre mltiples ISP.
(5) Conguracin de la velocidad
de los puertos (por defecto esta
en autodeteccin) y el modo de
transferencia dplex.
(6) Conguracin de lneas de
back-up. Permite habilitar/inhabili-
tar lneas de respaldo.
(7) Grupos IP. Posibilita crear y
gestionar grupos de IPs.
(8) Grupos de servicios.
(9) Conguracin de horas de
ocupacin. Se utiliza para la
gestin del ancho de banda.
XTERA AscenLink
Fig. 6.- Interfaz WLHD con AscenLink de XTERA.
Fig. 7.- Interfaz servicio rewall con AscenLink.
Fig. 8.- Interfaz del servidor virtual con AscenLink.
Fig. 9.- Pantalla de multi-homing con AscenLink.
124 ABRI L 2012 / N 99 / Si C
(10) Herramientas de diagns-
tico. Incluye entre otras tcp-
dump para captura de paquetes
sobre interfaces, ping para
conocer la accesibilidad, arping
para mostrar la tabla ARP, test
de conictos IP, traceroute,
nslookup, etc.
(11) Conguracin de fecha/
hora y zona horaria.
(12) Asistencia remota. Permite
la entrada al sistema al personal
tcnico de Xtera en caso de
averas. Opera con los puertos
TCP 443 y 23 SSH.
(13) Administracin. Permite
realizar tareas como cambio de
contraseas, modicacin de los
puertos como el del interfaz de usuario, llevar a cabo labores
de actualizacin del rmware, realizar operaciones de copia
de seguridad de cheros de conguracin, etc.
CONSIDERACIONES FINALES
Se ha sometido la presente herramienta durante veinte das a
un continuado y exhaustivo conjunto de pruebas y diferentes
bateras de test. Se ha evaluado la herramienta hardware-
software con resultados globales en funcionamiento, protec-
cin, gestin y rendimiento en torno al 95%.
Se han realizado diversos test en diferentes escenarios
de despliegue tipo WAN-LAN con DMZ, rewall externo,
infraestructura VLAN, direcciones IP estticas y dinmicas: (i)
Modo bridge con una o varias IP estticas, con PPPoE y con
cliente DHCP. (ii) Modo routing con uno o mltiples enlaces
WAN. En este caso el ISP proporciona un segmento de red al
usuario con una o varias lneas WAN hacia la o las herramien-
tas y con el uso de direcciones estticas y dinmicas (caso de
pruebas de tnel routing, agregacin de lneas, alta disponi-
bilidad/fail-over, etc.).
Se han realizado subredes privadas con RIP, OSPF. Los resul-
tados de la evaluacin han sido del 94,8%. (iii) Modo colabo-
racin con rewall externos. Los
resultados de la evaluacin han
sido del 95,2%. Los resultados
de las pruebas de rendimiento
han conducido a valores en
torno al 95% ante pruebas de
estrs y fatiga con gradientes de
carga prolongados y fallos. Los
resultados de las pruebas con
WLHD han sido satisfactorios,
del 91,2% en el peor de los ca-
sos. La valoracin de la gene-
racin de diferentes informes
para sus servicios, as como una
monitorizacin de rendimiento
de cada enlace WAN en tiempo
real, que posibilita una visualiza-
cin de consumo de caudal por
cada WAN, ha sido del 94,9%.
Los resultados en relacin al nmero mximo de enlaces
WAN utilizables sin degradacin signicativa han sido de
cincuenta para el AL5000 y de veinticinco para el AL700. La
valoracin de los test sobre alta disponibilidad ha sido satis-
factoria, con resultados del 95%.
Los resultados de la valoracin de gestin de la herramienta
han sido del 94,9% y la del sistema de alertas planicadas y
de informes planicados que puede enviar por correo electr-
nico o integrarlo con sistemas de gestin va SNMP ha sido
del 95,7%. Igualmente, los resultados de los test y bateras
de pruebas en relacin a la latencia con aplicaciones sensi-
bles al tiempo han sido aptos, y los obtenidos de las pruebas
side-channels efectuadas han sido satisfactorios: para anlisis
de timing, 90%; para anlisis de potencia DPA (Differential
Power Analysis), 89%; para el anlisis de fallos, 91%; y basa-
dos en radiacin EM, el 91,2%. La valoracin de los mecanis-
mos de agregacin de lneas en entornos completos ha sido
del 91,3%, y los de los test relacionados con las pruebas del
tnel routing han sido satisfactorias, del 94,2%, con cargas
de trco del 82% y fallos sistemticos. La valoracin de las
pruebas de escalabilidad ha sido del 95,1%, y los resultados
de los test a los servicios del 94,9%.
CONCLUSIONES
Prof. Dr. Javier Areitio
Bertoln
Catedrtico de la Facultad
de Ingeniera.
Director del Grupo
de Investigacin
Redes y Sistemas.
UNIVERSIDAD
DE DEUSTO
EQUIPO DE EVALUACIN
OBJETIVO: herramienta de seguridad de red de naturaleza hardware-software del tipo edge-server compuesto por diversas funcionalidades de gestin-seguridad de
red como rewall/NAT/ACL/DMZ, routing persistente, balanceo de carga de trco entrante y saliente, servidor virtual, gestin del ancho de banda, tnel routing,
alta disponibilidad, fail-over, etc. Se gestiona de forma centralizada desde un interfaz de usuario basado en Web, desde el que se puede interaccionar con LinkRe-
port para generar informes, diagnsticos y diversas estadsticas como estado multi-homing, uso del ancho de banda, fallo enlaces WAN, etc.
PUNTUALIZACIONES/LIMITACIONES: utiliza un servidor NTP para la sincronizacin temporal. El estado de la conexin de un enlace WAN se detecta utilizando paquetes
TCP e ICMP. Solo admite un administrador y cinco monitores para acceder al interfaz de usuario Web. Gestiona la mayor parte de sus reglas/ltros/polticas con
el mtodo de evaluacin top-down, donde las reglas se priorizan en orden decreciente. Si la contrasea de administrador se pierde u olvida, se debe utilizar una
conexin local a la unidad hardware a travs del puerto de consola serie RS232, y con el software hyperterminal establecer log con el nombre de usuario/contrase-
a Administrador/ascenlink y realizar el comando resetpasswd para restaurar la contrasea por defecto de fbrica. Opera bajo el sistema operativo LinkOS, soporta
puertos Ethernet 10/100/1000 Mbps. La redireccin de cach ha sido apta. Posibles nuevas funcionalidades a integrar en el interfaz Web de usuario. Limitacin en
el tamao del chero de conguracin IP Group. Se observan numerosos checkbox en el interfaz de usuario para habilitar o inhabilitar las diversas funciones.
IMPACTO DE SU UTILIZACIN: incluye un circuito virtual trunk interno, que es una combinacin de varios enlaces WAN; el autorouting permite ajustar el virtual trunk para
incluir solo los enlaces WAN operativos y dirigir el trco saliente a travs del circuito virtual trunk de forma automtica. Permite agregar mltiples ISP para balan-
ceo de carga y fail-over. El visualizador LCD del AL5000 permite mostrar el uso de CPU/memoria, el nmero de conexiones, las direcciones IP y el ancho de banda
entrante y saliente. Para acceder al interfaz de usuario Web en el navegador se debe inhabilitar proxy server.
PRESTACIONES/VENTAJAS ESPECFICAS: los usuarios de red no se dan cuenta de los cambios de estado de los enlaces WAN debidos a un
posible malfuncionamiento de ellos. Las sesiones de comunicacin entre el PC del interfaz de usuario y la herramienta evaluada
son cifradas bajo HTTPS. Soporta virtual server y balanceo de carga de servidor simple, lo cual permite una presentacin de los
servicios externos a los clientes de forma uniforme. Permite operar con DNS interno y relay. Incorpora mecanismos de routing
de buena granularidad. Soporta VLAN, VPN, DMZ. Presenta un rendimiento y una abilidad satisfactorias.
DOCUMENTACIN: apta. Utilizacin de cheros .pdf.
ESTRUCTURACIN DE LA HERRAMIENTA: (i) Dos unidades hardware AL5000 y AL700 para pruebas de tnel routing, agregacin de
lneas, etc. (ii) Software AscentLink y LinkReport para la generacin de informes.
CALIFICACIN FINAL DEL PRODUCTO: Herramienta escalable de seguridad-gestin de red de naturaleza hardware-software que integra
diversas funcionalidades como rewall (DMZ, ACL con proteccin del nivel de aplicacin), multi-homing, balanceo de carga bi-
direccional, gestor de ancho de banda, auto-routing verstil, tolerancia a fallos de enlaces, alta disponibilidad, etc. Se gestiona
de forma centralizada con un interfaz de usuario basado en Web sencillo. El funcionamiento de los mecanismos de auto-
routing, como balanceador de carga para trco saliente y de multi-homing para el trco entrante, presentan un funciona-
miento adecuado. Soporta despliegues entre sucursales bastante exibles y posibilita una gestin satisfactoria con tneles VPN.
Opera con LinkReport para ampliar las funcionalidades de los recursos de gestin y proporcionar informes tiles.
Fig. 10.- Interfaz de noticacin con AscenLink de XTERA.