22 de agosto de 2011

La familia de firewalls Cisco ASA 5500

Dentro de la familia de productos ofrecida por Cisco en la actualidad el appliance para seguridad (firewall) es el popularmente conocido como ASA (Adaptive Security Appliances). La familia de productos es realmente amplia, por lo que me pareció conveniente hacer una rápida síntesis de los modelos actualmente disponibles. Por supuesto que la información detallada se puede encontrar en el sitio de Cisco, utilizando los enlaces que recojo al final del post.


Cisco ASA 5505
  • Entorno sugerido: Pequeñas oficinas o sucursales, trabajadores remotos.
  • Throughput máximo: 150 Mbps
  • Cantidad máxima de conexiones por segundo: 4.000
  • Paquetes (de 64 bytes) por segundo: 85.000
  • Cantidad máxima de peers para VPNs IPSec: 10
  • Cantidad máxima de sesiones de clientes SSL: 25
Cisco ASA 5510
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 300 Mbps.
  • Cantidad máxima de conexiones por segundo: 9.000
  • Paquetes (de 64 bytes) por segundo: 190.000
  • Cantidad máxima de peers para VPNs IPSec: 250
  • Cantidad máxima de sesiones de clientes SSL: 250
Cisco ASA 5520
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 450 Mbps.
  • Cantidad máxima de conexiones por segundo: 12.000
  • Paquetes (de 64 bytes) por segundo: 230.000
  • Cantidad máxima de peers para VPNs IPSec: 750
  • Cantidad máxima de sesiones de clientes SSL: 750
Cisco ASA 5540
  • Entorno sugerido: Borde de acceso a Internet
  • Throughput máximo: 650 Mbps.
  • Cantidad máxima de conexiones por segundo: 25.000
  • Paquetes (de 64 bytes) por segundo: 500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 2.500
Cisco ASA 5550
  • Entorno sugerido: Borde de acceso a Internet, red de campus
  • Throughput máximo: 1,2 Gbps.
  • Cantidad máxima de conexiones por segundo: 36.000
  • Paquetes (de 64 bytes) por segundo: 600.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5580-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 90.000
  • Paquetes (de 64 bytes) por segundo: 2.500.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5580-40
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 150.000
  • Paquetes (de 64 bytes) por segundo: 4.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
  • End-of-Sale anunciado: 31 de julio de 2012
Cisco ASA 5585-X con SSP-10
  • Entorno sugerido: Borde de acceso a Internet, campus.
  • Throughput máximo: 4 Gbps.
  • Cantidad máxima de conexiones por segundo: 50.000
  • Paquetes (de 64 bytes) por segundo: 1.500.000
  • Cantidad máxima de peers para VPNs IPSec: 5.000
  • Cantidad máxima de sesiones de clientes SSL: 5.000
Cisco ASA 5585-X con SSP-20
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 10 Gbps.
  • Cantidad máxima de conexiones por segundo: 125.000
  • Paquetes (de 64 bytes) por segundo: 3.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-40
  • Entorno sugerido: Data Center, campus
  • Throughput máximo: 20 Gbps.
  • Cantidad máxima de conexiones por segundo: 200.000
  • Paquetes (de 64 bytes) por segundo: 5.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Cisco ASA 5585-X con SSP-60
  • Entorno sugerido: Data center, campus
  • Throughput máximo: 40 Gbps.
  • Cantidad máxima de conexiones por segundo: 350.000
  • Paquetes (de 64 bytes) por segundo: 9.000.000
  • Cantidad máxima de peers para VPNs IPSec: 10.000
  • Cantidad máxima de sesiones de clientes SSL: 10.000
Enlaces sugeridos
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

21 de agosto de 2011

Tecnologías de Firewall

Los que trabajamos en el ámbito de las redes de datos hemos escuchado mencionar el término "firewall".
Sin dudas que el firewall (o cortafuegos) es un elemento estrechamente vinculado a la implementación de seguridad en redes de datos. Pero también suena ambiguo. Hay quienes refieren por firewall a un software instalado en sus terminales, otros que lo aplican exclusivamente a dispositivos de red u otros que lo refieren a un conjunto de reglas.


¿Qué es entonces un firewall?
Bueno, en principio es todo lo que dije arriba y algo más. Es un concepto más amplio que esas versiones restrictivas.
Un firewall es un sistema (conjunto de elementos) que fuerza la aplicación de políticas de acceso entre diferentes áreas (dominios de seguridad) de una red de datos.
En cuanto sistema puede estar compuesto por uno o varios dispositivos o funcionalidades aplicadas en diferentes equipos.


Tecnologías de firewalling
En la actualidad podemos utilizar diferentes tecnologías de firewalling:
.1. Filtrado de paquetes stateless
  • Se realiza a partir de un conjunto de reglas estáticas que permiten o bloquean el acceso de tráfico en función de información contenida en los encabezados de los paquetes.
  • Ideal para trabajar con aplicaciones TCP que operan con asignación estática de puertos o filtrado en función de información contenida en los encabezados de capa 3.
  • Es transparente para el usuario final y opera con alta performance.
  • No soporta sesiones que utilizan asignación dinámica de puertos.
  • Requiere conocimientos y experiencia por parte del operador que diseña y configura.
  • No es útil para detener ataques de reconocimiento.
.2. Filtrado de paquetes stateful
  • Permite un control confiable del acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Puede hacer seguimiento de sesiones que utilizan asignación dinámica de puertos.
  • Es simple de configurar.
  • Es transparente para el usuario final y opera con alta performance.
  • No inspecciona contenidos de capa de aplicación.
  • No puede seguir sesiones con asignación dinámica de puertos cuando el tráfico es encriptado.
.3. Filtrado de paquetes stateful con inspección y control de aplicaciones
  • Permite un control confiable de acceso en base a la información contenida en los encabezados de capa 3 y 4 de los paquetes.
  • Hace inspección de los comandos de aplicaciones para segurar su consistencia.
  • Es simple de configurar.
  • En transparente para el usuario final, pero afecta la performance.
  • La capacidad de inspección está afectada par la capacidad de bufferización de paquetes.
.4. Network Intrusioin Prevention Systems
  • Permiten detectar diferentes tipos de ataques a múltiples niveles en función de la inspección del tráfico a partir de una base de datos de "firmas".
  • Útil para la detección de ataques conocidos, gusanos, spyware, trojanos, bots, etc.
  • Es transparente para el susuario final, aunque afecta la performance.
  • Requiere permanente actualización de la base de datos de firmas.
  • Requeire de un período inicial de ajuste para evitar errores en la detección.
.5. Network Behavior Analysis
  • Realiza análisis automáticamente del comportamiento del tráfico de la red, detectando anomalías estadísticas.
  • Se puede utilizar tanto para analizar el tráfico en línea, o fuera de línea.
  • Tiene la capacidad de detectar ataques aún no conocidos.
  • Es problemático su funcionamiento en entornos de red caóticos, dado que se basa en el análisis estadístico de anomalías.
  • Requiere una puesta a punto y un ajuste periódico muy preciso.
.6. Gateways de capa de aplicación (proxies)
  • Permiten un control confiable y estable en capa de aplicación.
  • Pueden realizar normalización automática de los protocolos.
  • Tienen la habilidad de realizar análisis en profundidas del contenido.
  • No están disponibles para todas las aplicaciones de la red. Lo más habitual es para tráfico web y de correo electrónico.
  • No se puede utilizar en aplicaciones de tiempo real.
  • No es transparente para el usuario final.
Cualquier comentario o consulta que consideres importante respecto a este tema,
 incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

20 de agosto de 2011

CCNA desde Cero (4)

Si ya tenés un "mentor" que te acompañe en tu preparación para el examen de certificación, es momento entonces de comenzar. Y para esto la pregunta es ¿Qué necesito para prepararme bien para el examen?

Hay muchas formas de preparar un examen de certificación. Si bien siempre es posible aprobar la evaluación, el resultado real que obtendrá no es siempre el mismo.
¿Cuáles son formas posibles de preparar el examen?

  • Quienes aspiran a convertirse en CCNA y no tienen ninguna experiencia previa en el "mundo Cisco" tienen disponible un camino ya pre-organizado: Cisco Networking Academy.
    Esto significa entre 1 y 2 años de estudio bajo el tutorado de un Instructor certificado, con una carga  importante de práctica; evaluaciones parciales y finales prácticas y teóricas.
    De cualquier modo, a los meses o años de Academia siempre deberás sumarle luego un tiempo de estudio personal intensivo para preparar el examen de certificación.
    Este camino va mucho más allá del examen de certificación y apunta a la formación de un técnico completo.
  • Una opción menos extensa en tiempo y adecuada para quienes ya tienen experiencia en el área (sobre todo práctica), son los entrenamientos que ofrecen los Cisco Learning Partners.
    En este caso hay 2 entrenamientos disponibles que se corresponden a la certificación: Interconnecting Cisco Networking Devices parte 1 y parte 2.
    La conveniencia de tomar uno solo o los dos dependerá de la experiencia personal y los conocimientos previos de cada uno.
    Por supuesto que a los entrenamientos se deberá sumar también un tiempo de estudio personal intensivo para preparar el examen de certificación.
  • También es posible preparar directamente el examen de certificación a través del auto estudio.
    Para esto el camino se inicia con el estudio a conciencia de una selección inteligente de la bibliografía disponible (por ejemplo, el kit CCNA que ofrece Cisco Press).
    Es estudio teórico deberá ser complementado con prácticas sobre laboratorios reales, algunos de los cuales pueden ser contratados y accedidos de modo remoto a través de Internet.
  • Otro camino de preparación con auto estudio, que requiere menos tiempo y se enfoca directamente en el examen de certificación es la preparación utilizando una guía de preparación para el examen.
    Para esto también es muy importante complementar el estudio con prácticas sobre laboratorios reales.
  • Cuando no se puede acceder a laboratorios remotos o virtuales, una forma posible de suplirlos es recurrir a los simuladores.
    Hoy hay disponibles en el mercado excelentes simuladores que reproducen en forma bastante certera, dentro del nivel de desarrollo de un CCNA, las situaciones reales de trabajo. A mi juicio, la mejor herramienta en la actualidad para este propósito es Packet Tracer, el simulador desarrollado por Cisco.
Enlaces útiles:

Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.

6 de agosto de 2011

CCNA desde Cero (3)

Una de las preguntas más frecuentes de quienes inician su preparación para rendir el examen de certificación, es ¿Qué es necesario para poder rendir el examen?
Lo primero que todos debemos tener claro es que el examen CCNA 640-802 no tiene ningún pre-requisito. Es decir, lo puede rendir cualquier persona que haya estudiado en una Academia, en un Learning Partner, que haya hecho cursos no oficiales, o que simplemente se haya preparado con autoestudio. No es necesario hacer un curso específico antes de rendir el examen de certificación.
Sin embargo, en este punto me parece justo hacer una aclaración importante.
Es cierto que no es obligatorio hacer ningún curso. Sin embargo, no tiene la misma dificultad en la preparación quién ya tiene alguna experiencia en el "mundo Cisco" que quién recién ingresa.
Es mucho más fácil preparar el examen de certificación cuando se tiene un "mentor", es decir, un consejero o guía que ya conoce el camino y puede orientarnos con consejos y sugerencias. Por lo regular ese mentor es un Instructor al que hemos conocido al realizar algún curso y que nos orienta y aconseja. También puede ser, por supuesto, un compañero de trabajo o estudios que ya rindió el examen de certificación y que nos ayuda con su experiencia para orientarnos.
Buscar alguien que conozca el examen de certificación y nos apadrine es muy importante. No asegura el éxito pero facilita mucho el proceso de estudio y preparación, nos permite concentrar el esfuerzo, disipar las dudas y utilizar mejor nuestro tiempo.
Si has hecho algún curso, piensa en el Instructor que te mereció más confianza; si no tienes un Instructor cercano la solución puede ser un compañero de trabajo o un amigo que ya se haya certificado. Otra opción son las propuestas de preparación para rendir el examen que te ofrecen un contacto directo con un Instructor experimentado en el tema.
Pero no descuides un punto. Es importante que tenga conocimientos pero mucho más que ya haya rendido el examen de certificación. Lo que se necesita de este tutor es la experiencia en la preparación y el examen en sí mismo: en qué temas centrarnos, qué temas son secundarios, cuáles son las habilidades prácticas requeridas, cómo pregunta el examen, cuáles son los principales escollos.
Una vez que tenemos nuestro tutor, entonces si, el tema es buscar la mejor guía de preparación y un simulador o laboratorio para las prácticas. Pero ya el camino está allanado y desde su experiencia el mismo tutor podrá seguramente ayudarnos en la selección de las mejores herramientas.
Estas notas que estoy publicando son una ayuda en ese mismo sentido, pero no reemplazan el contacto personal con el Tutor.
No lo olvides. 
La primer sugerencia: contar con un tutor confiable y con experiencia que nos acompañe en el trayecto de preparación.
Cualquier comentario o consulta que consideres importante respecto a este tema,
procuraré responderlo rápidamente.
Por favor, incorporalo a continuación en forma de comentario.
Muchas gracias.
Oscar Gerometta
Si estás en Google+
enviame un correo electrónico a ogerometta@gmail.com
para incorporarte el Círculo que comparte información sobre Tecnología.