22 de agosto de 2011

La familia de firewalls Cisco ASA 5500

Dentro de la familia de productos ofrecida por Cisco en la actualidad el appliance para seguridad (firewall) es el popularmente conocido como ASA (Adaptive Security Appliances). La familia de productos es realmente amplia, por lo que me pareció conveniente hacer una rápida síntesis de los modelos actualmente disponibles. Por supuesto que la información detallada se puede encontrar en el sitio de Cisco, utilizando los enlaces que recojo al final del post.


Cisco ASA 5505
  • Entorno sugerido: Pequeñas oficinas o sucursales, trabajadores remotos.
  • Throughput máximo: 150 Mbps
  • Cantidad máxima de conexiones por segundo: 4.000
  • Paquetes (de 64 bytes) por segundo: 85.000
  • Cantidad máxima de peers para VPNs IPSec: 10
  • Cantidad máxima de sesiones de clientes SSL: 25
Cisco ASA 5510
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 300 Mbps.
  • Cantidad máxima de conexiones por segundo: 9.000
  • Paquetes (de 64 bytes) por segundo: 190.000
  • Cantidad máxima de peers para VPNs IPSec: 250
  • Cantidad máxima de sesiones de clientes SSL: 250
Cisco ASA 5520
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 450 Mbps.
  • Cantidad máxima de conexiones por segundo: 12.000
  • Paquetes (de 64 bytes) por segundo: 230.000
  • Cantidad máxima de peers para VPNs IPSec: 750
  • Cantidad máxima de sesiones de clientes SSL: 750
Cisco ASA 5540
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 650 Mbps.
  • Cantidad máxima de conexiones por segundo: 25.000
  • Paquetes (de 64 bytes) por segundo: 500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 2.500
Cisco ASA 5550
  • Entorno sugerido: Borde de acceso a Internet, red de campus
  • Throughput máximo: 1,2 Gbps.
  • Cantidad máxima de conexiones por segundo: 36.000
  • Paquetes (de 64 bytes) por segundo: 600.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5580-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 90.000
  • Paquetes (de 64 bytes) por segundo: 2.500.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5580-40
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 150.000
  • Paquetes (de 64 bytes) por segundo: 4.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5585-X con SSP-10
  • Entorno sugerido: Borde de acceso a Internet, campus.
  • Throughput máximo: 4 Gbps.
  • Cantidad máxima de conexiones por segundo: 50.000
  • Paquetes (de 64 bytes) por segundo: 1.500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5585-X con SSP-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 125.000
  • Paquetes (de 64 bytes) por segundo: 3.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-40
  • Entorno sugerido: Data Center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 200.000
  • Paquetes (de 64 bytes) por segundo: 5.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-60
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 40 Gbps.
  • Cantidad máxima de conexiones por segundo: 350.000
  • Paquetes (de 64 bytes) por segundo: 9.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Enlaces sugeridos
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

13 comentarios:

  1. Me gustaria saber si el manual de los ASA que elaboró sigue siendo valido o el software del dispositivo ha variado tanto que ya no es válido. Gracias

    ResponderEliminar
    Respuestas
    1. El manual que he publicado sobre ASA está basado en la versión 8.6. En los conceptos generales y descripción de features en general sigue siendo vigente, pero hay que tener presente que las nuevas versiones han incorporado nuevas funciones o profundizado las existentes en ese momento, lo que no está contemplado en ese manual. Tampoco contiene nada referido a la implementación de IPv6.
      Con estas salvedades, para muchos, es aún útil.

      Eliminar
    2. Pero como aproximación al ASA y a las politicas de seguridad en los firewall puede aun valer entiendo

      Eliminar
  2. Estimado Oscar, una consulta, se puede pasar la configuración de un asa 5520 a un asa 5510 de manera que este sirva de respaldo en caso de alguna contingencia?? si es así, cual seria la forma mas recomendable? usar el ASDM para sacar un backup completo y Restaurarlo? o solo basta con pasar la Running-Config del 5520 al 5510?
    de antemano muchas gracias.

    ResponderEliminar
    Respuestas
    1. Marco
      En primer lugar, un 5510 es una contingencia muy relativa de un 5520 ya que hay diferencias de capacidad entre ambos equipos y lo primero que habría que considerar es esto.
      En segundo, hay que considerar no solo la configuración sino también las licencias.
      Además, antes de pasar simplemente la configuración, hay que verificar que ambos tengan hardware similar y la misma versión de sistema operativo.
      Por último, la función de backup de ASDM no hace una simple copia de la configuración sino un respaldo de todos los archivos del sistema incluyendo la imagen de sistema operativo, por lo que no sirve para lo que estás queriendo hacer.

      Eliminar
    2. Oscar
      muchas gracias por darte el tiempo de responder y despejar las dudas de los que estamos empezando en esta área.

      Eliminar
  3. Hola Oscar una consulta, para iniciarme en los firewall ASA cual seria el requerimiento ya que en mi caso veo otras marcas

    De antemano gracias

    ResponderEliminar
    Respuestas
    1. Roberto.
      Por lo que comentás ya debés tener conocimientos de operación de redes TCP/IP, y supongo conceptos básicos de seguridad, por lo que el auto-estudio puede ser una salida, utilizando los manuales de Cisco Press.
      Ahora, si a lo que te referís es a certificaciones, en el caso de Cisco inevitablemente debieras comenzar al menos por certificar CCENT (con el examen ICND1), para luego hacer CCNA security (examen IINS), y de allí seguir si lo deseás a un CCNP security.

      Eliminar
  4. ¿Que es exactamente el Throughput máximo? y luego de los paquetes de 64 Bytes. Por ejemplo el 5505 dices que tiene Throughput de 150 Mbs pero 85 mil paquetes de 64 bytes que me parece que son unos 43 Mbs. No lo comprendo bien.

    ResponderEliminar
    Respuestas
    1. Se trata de 2 parámetros diferente para medir la capacidad de gestionar tráfico de un dispositivo.
      El throughput mide volúmen de tráfico.
      La cantidad de paquetes por segundo mide la capacidad de reenvío de tráfico en lo que se refiere a su capacidad de procesamiento de encabezados.
      El throughput se expresa en Mbps (sin mayor discriminación, es sólo volúmen).
      La capacidad de reenvío de tráfico se mide en cantidad de paquetes de 64 bytes por segundo, porque de esa forma estamos seguros de que no es el throughput el que está limitando.

      Eliminar
    2. ¿La capacidad de reenvio como en un router no viene dado por la interfaz con la que se conecta, es decir si un router o firewall tienen una interfaz gigabit no tienen porque ser capaces de reenviar 1Gbps? Y por otra no comprendo que diferencia hay entre volumen capaz de gestionar y capacidad de reenvío.
      Gracias

      Eliminar
    3. En ningún dispositivo la capacidad de reenvío de paquetes está dada por la capacidad de las interfaces.
      Si un dispositivo (y digo dispositivo genéricamente a propósito) tiene 4 interfaces Gpbs, eso no significa que necesariamente tenga un backplane con un throughput de 4 Gbps. Y aunque lo fuera, no es lo mismo procesar 4 Gbps de paquetes de 1500 B, que de paquetes de 64 B.
      El dispositivo debe procesar los encabezados para definir el reenvío de tráfico y eso depende de su capacidad de procesamiento, no de la capacidad de las interfaces.
      Algo semejante ocurre en una PC o laptop.
      Que cuente con una interfaz de red de Gigabit, no implica que se procesador esté en capacidad de generar un Gigabit de tráfico.

      Eliminar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.