Cortafuegos integrado Nokia IP530
Nokia IP530 es un cortafuegos con prestaciones de VPN e IDS orientado a cubrir las necesidades de gama media aunque por características y escalabilidad también puede resultar idóneo para proteger redes de altas prestaciones.
El IP530 no es un equipo excesivamente llamativo. Se trata de un módulo instalable en rack de 19 pulgadas que mide poco más 10 centímetros de altura y de color blanco grisáceo. En su parte trasera se encuentra una fuente de alimentación que ocupa la mitad del espacio, fuente que incluye su propio conector e interruptor de encendido. La otra mitad puede ocuparse bien con una segunda fuente de alimentación, bien con un panel con dos ventiladores.
En su parte delantera se encuentran los habituales conectores de consola y puerto auxiliar para módem (ambos de nueve patillas), los indicadores luminosos de estados y cuatro conectores Ethernet 10/100 que pueden utilizarse tanto para la red de gestión como para las diversas redes internas y externas. Encima de estos conectores se encuentran dos tapas ciegas con asa que permiten la instalación de algún módulo adicional, como un disco duro, por ejemplo. De más utilidad pueden ser las tres ranuras de expansión situadas en la parte izquierda del equipo y que admiten, entre otros módulos, puertos de comunicaciones LAN y WAN para ampliar los servicios de conectividad que se pueden incluir en el equipo.
Instalación
La instalación física del equipo no tiene ninguna complicación. Pero, si bien la profundidad no puede considerarse excesiva, supera las dimensiones de algún rack de pequeño tamaño.
El software a instalar consta de dos partes. Por un lado se encuentra IPSO, propio de Nokia, que puede considerarse como el sistema operativo de la máquina que le proporciona sus funcionalidades de red. Sobre esta capa se encuentra el cortafuegos en sí, que se trata del producto NG Firewall de CheckPoint. El orden de instalación también sigue, lógicamente, esta disposición.
En primer lugar se instala y parametriza IPSO. La configuración inicial de los equipos debe hacerse por el puerto de consola para configurar como mínimo una interfaz y asignarle dirección IP a dicha interfaz. Una vez realizado este paso, el resto de la configuración también puede hacerse por consola, o bien de una forma más sencilla mediante un navegador Web y una interfaz gráfica incluida en los cortafuegos denominados Voyager. Con este interfaz se pueden configurar todas las interfaces, VLAN, rutas, servicios de alta disponibilidad, etc.
Por último, se instalan y arrancan los servicios de cortafuegos. Por defecto, este firewall bloquea todos los accesos, y, por tanto, dejará de funcionar el Voyager. Si posteriormente se requiere realizar otro cambio en la configuración de red, es necesario habilitar reglas en dicho cortafuegos para permitir este acceso Web, o bien hacerlo desde consola en cada equipo.
Una vez hecha la instalación básica, se procede a instalar el servidor de gestión de CheckPoint, denominado SmartCenter, que puede funcionar sobre Windows, Solaris, Linux, etc. Este servidor será el encargado de la gestión de todos los cortafuegos que se instalen, ya sea uno o toda una red distribuida de ellos, incluyendo configuración, recepción de alarmas, logs, etc. La comunicación puede hacerse a través de una red Ethernet propia de gestión, o bien en banda usando las mismas redes a proteger, ya que la comunicación entre el SmartCenter y los cortafuegos se realiza de forma encriptada y con claves de acceso, por lo que su uso en la red a proteger no plantea, a priori, ningún problema.
La configuración y funcionamiento de CheckPoint NG es la misma que la del producto sobre cualquier otra plataforma hardware y no plantea ningún problema adicional.
Un detalle interesante es que originalmente la solución de alta disponibilidad se basa en el producto Stonebeat, pero en estos equipos si se dispone de dos o más IP 530. La solución de redundancia se obtiene implementando VRRP entre varias interfaces y habilitando los filtros correspondientes en los cortafuegos para permitir la comunicación de este protocolo.
La ventaja de esta nueva versión de CheckPoint y del uso del SmartCenter es que toda la configuración, operación y mantenimiento del equipo se realiza de forma centralizada. El mayor inconveniente fue el contenido críptico de la documentación de IPSO, que dificultó ligeramente la configuración de esa parte.
Pruebas
Las pruebas de funcionamiento dieron unos resultados totalmente satisfactorios, tanto en fiabilidad como en capacidad de carga. Se pudo comprobar en una configuración con dos IP530 que el funcionamiento de alta disponibilidad se basa en una configuración activo/pasivo, de modo que, en el caso de fallo de un equipo, la conmutación se realiza inmediatamente y sin problemas. Y aunque las sesiones de usuarios establecidas se interrumpen y es necesario reiniciarlas, este inconveniente, teniendo en cuenta que la conmutación sólo se produce en circunstancias excepcionales, no se puede considerar grave.
Con el modelo IP530, Nokia proporciona una plataforma de seguridad IP de alto rendimiento y fiabilidad con prestaciones de cortafuegos, VPN e IDS, que, pese a presentarse con una documentación francamente mejorable, representa una muy buena solución para entornos de red medianos e incluso grandes.
IP530
-------
Fabricante: Nokia
www.nokia.com
www.nokia.es
Tel. 91 211 93 00
Precio: 16.330 euros
CheckPoint FW1 Enterprise Center: 19.475 euros
Puntuaciones:
Instalación: 7,25
Facilidad: 6
Compatibilidad estándares: 8,5
Gestión: 7,3
Seguridad: 7
Compatibilidad estándares: 6
Información: 9
Prestaciones: 7,6
Velocidad: 7
Disponibilidad: 7
Funciones: 9
Puntuación: 7,4
El IP530 no es un equipo excesivamente llamativo. Se trata de un módulo instalable en rack de 19 pulgadas que mide poco más 10 centímetros de altura y de color blanco grisáceo. En su parte trasera se encuentra una fuente de alimentación que ocupa la mitad del espacio, fuente que incluye su propio conector e interruptor de encendido. La otra mitad puede ocuparse bien con una segunda fuente de alimentación, bien con un panel con dos ventiladores.
En su parte delantera se encuentran los habituales conectores de consola y puerto auxiliar para módem (ambos de nueve patillas), los indicadores luminosos de estados y cuatro conectores Ethernet 10/100 que pueden utilizarse tanto para la red de gestión como para las diversas redes internas y externas. Encima de estos conectores se encuentran dos tapas ciegas con asa que permiten la instalación de algún módulo adicional, como un disco duro, por ejemplo. De más utilidad pueden ser las tres ranuras de expansión situadas en la parte izquierda del equipo y que admiten, entre otros módulos, puertos de comunicaciones LAN y WAN para ampliar los servicios de conectividad que se pueden incluir en el equipo.
Instalación
La instalación física del equipo no tiene ninguna complicación. Pero, si bien la profundidad no puede considerarse excesiva, supera las dimensiones de algún rack de pequeño tamaño.
El software a instalar consta de dos partes. Por un lado se encuentra IPSO, propio de Nokia, que puede considerarse como el sistema operativo de la máquina que le proporciona sus funcionalidades de red. Sobre esta capa se encuentra el cortafuegos en sí, que se trata del producto NG Firewall de CheckPoint. El orden de instalación también sigue, lógicamente, esta disposición.
En primer lugar se instala y parametriza IPSO. La configuración inicial de los equipos debe hacerse por el puerto de consola para configurar como mínimo una interfaz y asignarle dirección IP a dicha interfaz. Una vez realizado este paso, el resto de la configuración también puede hacerse por consola, o bien de una forma más sencilla mediante un navegador Web y una interfaz gráfica incluida en los cortafuegos denominados Voyager. Con este interfaz se pueden configurar todas las interfaces, VLAN, rutas, servicios de alta disponibilidad, etc.
Por último, se instalan y arrancan los servicios de cortafuegos. Por defecto, este firewall bloquea todos los accesos, y, por tanto, dejará de funcionar el Voyager. Si posteriormente se requiere realizar otro cambio en la configuración de red, es necesario habilitar reglas en dicho cortafuegos para permitir este acceso Web, o bien hacerlo desde consola en cada equipo.
Una vez hecha la instalación básica, se procede a instalar el servidor de gestión de CheckPoint, denominado SmartCenter, que puede funcionar sobre Windows, Solaris, Linux, etc. Este servidor será el encargado de la gestión de todos los cortafuegos que se instalen, ya sea uno o toda una red distribuida de ellos, incluyendo configuración, recepción de alarmas, logs, etc. La comunicación puede hacerse a través de una red Ethernet propia de gestión, o bien en banda usando las mismas redes a proteger, ya que la comunicación entre el SmartCenter y los cortafuegos se realiza de forma encriptada y con claves de acceso, por lo que su uso en la red a proteger no plantea, a priori, ningún problema.
La configuración y funcionamiento de CheckPoint NG es la misma que la del producto sobre cualquier otra plataforma hardware y no plantea ningún problema adicional.
Un detalle interesante es que originalmente la solución de alta disponibilidad se basa en el producto Stonebeat, pero en estos equipos si se dispone de dos o más IP 530. La solución de redundancia se obtiene implementando VRRP entre varias interfaces y habilitando los filtros correspondientes en los cortafuegos para permitir la comunicación de este protocolo.
La ventaja de esta nueva versión de CheckPoint y del uso del SmartCenter es que toda la configuración, operación y mantenimiento del equipo se realiza de forma centralizada. El mayor inconveniente fue el contenido críptico de la documentación de IPSO, que dificultó ligeramente la configuración de esa parte.
Pruebas
Las pruebas de funcionamiento dieron unos resultados totalmente satisfactorios, tanto en fiabilidad como en capacidad de carga. Se pudo comprobar en una configuración con dos IP530 que el funcionamiento de alta disponibilidad se basa en una configuración activo/pasivo, de modo que, en el caso de fallo de un equipo, la conmutación se realiza inmediatamente y sin problemas. Y aunque las sesiones de usuarios establecidas se interrumpen y es necesario reiniciarlas, este inconveniente, teniendo en cuenta que la conmutación sólo se produce en circunstancias excepcionales, no se puede considerar grave.
Con el modelo IP530, Nokia proporciona una plataforma de seguridad IP de alto rendimiento y fiabilidad con prestaciones de cortafuegos, VPN e IDS, que, pese a presentarse con una documentación francamente mejorable, representa una muy buena solución para entornos de red medianos e incluso grandes.
IP530
-------
Fabricante: Nokia
www.nokia.com
www.nokia.es
Tel. 91 211 93 00
Precio: 16.330 euros
CheckPoint FW1 Enterprise Center: 19.475 euros
Puntuaciones:
Instalación: 7,25
Facilidad: 6
Compatibilidad estándares: 8,5
Gestión: 7,3
Seguridad: 7
Compatibilidad estándares: 6
Información: 9
Prestaciones: 7,6
Velocidad: 7
Disponibilidad: 7
Funciones: 9
Puntuación: 7,4
