La seguridad se abre paso en los equipos de conmutación
Anuncios de Cisco, Extreme, Enterasys y Foundry
La línea entre conectividad y seguridad se difumina. Cisco, Extreme, Enterasys y Foundry planean sacar al mercado nuevas soluciones que avanzan en la integración de ambos mundos.
Los expertos consideran la seguridad como un elemento demasiado importante como para que simplemente sea un servicio agregado a la red. En su opinión, los sistemas de prevención y detección de intrusiones (IPS/IDS), redes privadas virtuales (VPN), encriptación y otras funciones similares deberían ser inherentes a los propios equipos de red. Hace tiempo que esta percepción empujó a los principales fabricantes de equipos de redes ha adquirir o desarrollar internamente tecnologías de seguridad para integrarlas en sus dispositivos. Y, desde entonces, los avances en este sentido son evidentes. En las últimas semanas, Cisco, Extreme, Enterasys y Foundry han anunciado nuevos lanzamientos que profundizan aún más en la nueva tendencia.
Cisco Networks ha avanzado el próximo lanzamiento de diversas actualizaciones de su línea 7200 Services Aggregation Routers, un dispositivo para oficinas centrales que puede agregar múltiples Integrated Service Routers (ISR) instalados en cientos de sucursales y delegaciones. La nueva versión contará con Network Processing Engine G2 (NPE-G2), que, según la compañía, duplica el rendimiento del routing de los blades NPE anteriores gracias a un procesador más rápido y a una mayor memoria. De esta manera, el dispositivo puede asumir más funciones de seguridad basadas en IOS sin perjudicar las tasas de transferencia. También la mayor capacidad permite conectar equipos más rápidos en las sucursales.
Asimismo, Cisco prepara VPN Services Adapter, que permitirá al router 7200 procesar tráfico VPN IPSec tres veces más rápido que un equipo que sólo ejecute servicios VPN IOS. Los estándares de encriptación soportados incluyen Triple Data Encryption Standard (TDES) y Advanced Encryption Standard (AES), de 128 y 256 bits. Para añadir capacidad de procesamiento a la WAN, un tercer módulo, Port Adapter Jacket Card, aumentará hasta un 50% el ancho de banda del router, según Cisco. El módulo añade al dispositivo una séptima ranura para una tarjeta de servicio que soporta una conexión T-3/E-3 dual canalizada u OC-3.
Enterasys Networks, por su parte, está integrando los módulos Dragon IDS/IPS en sus conmutadores de red troncal Matrix N Series. Según el enfoque seguido por el fabricante, dichos módulos se insertan en las ranuras de expansión de las tarjetas de línea 10/100/1000 Mbps individuales de los conmutadores, evitando así tener que dedicar una ranura del chasis para obtener esta funcionalidad. Enterasys no es el primero en integrar directamente capacidades IDS/IPS en un conmutador central, ya que Cisco lo lleva haciendo años y otros como Nortel ya se han comprometido a hacerlo. Sin embargo, para ciertos analistas, al incorporar estas prestaciones como placas en los blades de conmutación individuales y no en el procesador central, el enfoque de Enterasys puede ser superior. En su opinión, como el blade IDS/IPS de Cisco para el Catalyst 6500 ocupa una ranura del chasis y, además, el tráfico ha de pasar por el backplane del conmutador, se ven limitados tanto el ancho de banda como la capacidad de expansión.
Alianzas con terceros
Siguiendo un enfoque similar al de otras firmas, Extreme ha anunciado acuerdos con fabricantes de soluciones IDS/IPS, encriptación de datos y control de acceso remoto (NAC) para integrar sus funciones de seguridad en los conmutadores de la compañía. Con Internet Security System (ISS), Extreme ha desarrollado un protocolo que pasa información entre los dispositivos IDS/IPS y los conmutadores que ejecutan el sistema operativo de conmutación ExtremeXOS, basado en XML. Así, para finales de año, un dispositivo ISS situado en un punto central podrá comunicarse con todos los conmutadores Extreme de una LAN para analizar el tráfico que están tratando. El tráfico sospechoso genera una serie de mensajes de alerta entre los conmutadores Extreme y el dispositivo ISS que pueden llegar a desactivar el puerto en el que se ha detectado la anomalía.
Asimismo, Extreme está integrando los productos de seguridad de CipherOptics y StillSecure con su appliance de gestión de tráfico de seguridad Sentriant. Según la compañía, los conmutadores ExtremeXOS, en conjunción con Sentriant, detectará qué tráfico requiere encriptación, en función de políticas preestablecidas, para codificarlo gracias a la tecnología de Cipher-
Optics. El enfoque es similar con StillSecure. Los conmutadores de Extreme “atraparán” a los usuarios sin autenticar en el nivel de conmutación mientras el dispositivo NAC de StillSecure examina si el equipo cliente cumple con las medidas de seguridad, admitiendo o denegando el acceso en consecuencia.
Protección del centro de datos
Foundry, finalmente, ha anunciado NetIron MLX-32, con el que pretende competir con Force 10 Networks, el líder en densidad de puertos 10 GbE. Dirigido al centro de datos de grandes y medianas empresas, el equipo soporta hasta 256 conexiones 10GbE, 1.280 puertos GbE o una combinación de ambos en una estructura de conmutación de 7,68 Tbps. Todos los puertos operan con MPLS, IPv4 e IPv6.
Pero, además, MLX-32 incorpora diversas funciones de seguridad, como Unicast Reverse Path Forwarding (URFP) y Multi- virtual Router Forwarding (Multi-VRF). Gracias a URFP, el conmutador puede comprobar la fuente y la dirección de destino de cada paquete en sus tablas de rutas de Nivel 3, con el fin de prevenir la falsificación de paquetes. Multi-VRF, por su parte, permite crear dentro del equipo dominios de routing virtual, que, de forma similar a las LAN virtuales de Nivel 2, segregan los flujos de tráfico. Los usuarios también pueden instalar cortafuegos externos o listas de control de acceso internas para regular qué tráfico se comparte entre los segmentos de routers virtuales.
Conmutadores de próxima generación
------------------------------------------------------
Los conmutadores de próxima generación no sólo integrarán funciones de seguridad inteligente, además de las de cortafuegos, detección y prevención de intrusiones (IDS e IPS) y redes privadas virtuales (VPN), sino también la capacidad de tratar distintos tipos de optimización de aplicaciones, como aceleración Web, balanceo de cargas de servidor y optimización WAN. Esta tendencia busca hacer del conmutador un equipo no sólo capaz de examinar paquetes y entregarlos apropiadamente, sino también de examinar la corriente de aplicaciones en su totalidad (es decir, todo el flujo de paquetes), y tomar en consecuencia las acciones oportunas.
Los expertos consideran la seguridad como un elemento demasiado importante como para que simplemente sea un servicio agregado a la red. En su opinión, los sistemas de prevención y detección de intrusiones (IPS/IDS), redes privadas virtuales (VPN), encriptación y otras funciones similares deberían ser inherentes a los propios equipos de red. Hace tiempo que esta percepción empujó a los principales fabricantes de equipos de redes ha adquirir o desarrollar internamente tecnologías de seguridad para integrarlas en sus dispositivos. Y, desde entonces, los avances en este sentido son evidentes. En las últimas semanas, Cisco, Extreme, Enterasys y Foundry han anunciado nuevos lanzamientos que profundizan aún más en la nueva tendencia.
Cisco Networks ha avanzado el próximo lanzamiento de diversas actualizaciones de su línea 7200 Services Aggregation Routers, un dispositivo para oficinas centrales que puede agregar múltiples Integrated Service Routers (ISR) instalados en cientos de sucursales y delegaciones. La nueva versión contará con Network Processing Engine G2 (NPE-G2), que, según la compañía, duplica el rendimiento del routing de los blades NPE anteriores gracias a un procesador más rápido y a una mayor memoria. De esta manera, el dispositivo puede asumir más funciones de seguridad basadas en IOS sin perjudicar las tasas de transferencia. También la mayor capacidad permite conectar equipos más rápidos en las sucursales.
Asimismo, Cisco prepara VPN Services Adapter, que permitirá al router 7200 procesar tráfico VPN IPSec tres veces más rápido que un equipo que sólo ejecute servicios VPN IOS. Los estándares de encriptación soportados incluyen Triple Data Encryption Standard (TDES) y Advanced Encryption Standard (AES), de 128 y 256 bits. Para añadir capacidad de procesamiento a la WAN, un tercer módulo, Port Adapter Jacket Card, aumentará hasta un 50% el ancho de banda del router, según Cisco. El módulo añade al dispositivo una séptima ranura para una tarjeta de servicio que soporta una conexión T-3/E-3 dual canalizada u OC-3.
Enterasys Networks, por su parte, está integrando los módulos Dragon IDS/IPS en sus conmutadores de red troncal Matrix N Series. Según el enfoque seguido por el fabricante, dichos módulos se insertan en las ranuras de expansión de las tarjetas de línea 10/100/1000 Mbps individuales de los conmutadores, evitando así tener que dedicar una ranura del chasis para obtener esta funcionalidad. Enterasys no es el primero en integrar directamente capacidades IDS/IPS en un conmutador central, ya que Cisco lo lleva haciendo años y otros como Nortel ya se han comprometido a hacerlo. Sin embargo, para ciertos analistas, al incorporar estas prestaciones como placas en los blades de conmutación individuales y no en el procesador central, el enfoque de Enterasys puede ser superior. En su opinión, como el blade IDS/IPS de Cisco para el Catalyst 6500 ocupa una ranura del chasis y, además, el tráfico ha de pasar por el backplane del conmutador, se ven limitados tanto el ancho de banda como la capacidad de expansión.
Alianzas con terceros
Siguiendo un enfoque similar al de otras firmas, Extreme ha anunciado acuerdos con fabricantes de soluciones IDS/IPS, encriptación de datos y control de acceso remoto (NAC) para integrar sus funciones de seguridad en los conmutadores de la compañía. Con Internet Security System (ISS), Extreme ha desarrollado un protocolo que pasa información entre los dispositivos IDS/IPS y los conmutadores que ejecutan el sistema operativo de conmutación ExtremeXOS, basado en XML. Así, para finales de año, un dispositivo ISS situado en un punto central podrá comunicarse con todos los conmutadores Extreme de una LAN para analizar el tráfico que están tratando. El tráfico sospechoso genera una serie de mensajes de alerta entre los conmutadores Extreme y el dispositivo ISS que pueden llegar a desactivar el puerto en el que se ha detectado la anomalía.
Asimismo, Extreme está integrando los productos de seguridad de CipherOptics y StillSecure con su appliance de gestión de tráfico de seguridad Sentriant. Según la compañía, los conmutadores ExtremeXOS, en conjunción con Sentriant, detectará qué tráfico requiere encriptación, en función de políticas preestablecidas, para codificarlo gracias a la tecnología de Cipher-
Optics. El enfoque es similar con StillSecure. Los conmutadores de Extreme “atraparán” a los usuarios sin autenticar en el nivel de conmutación mientras el dispositivo NAC de StillSecure examina si el equipo cliente cumple con las medidas de seguridad, admitiendo o denegando el acceso en consecuencia.
Protección del centro de datos
Foundry, finalmente, ha anunciado NetIron MLX-32, con el que pretende competir con Force 10 Networks, el líder en densidad de puertos 10 GbE. Dirigido al centro de datos de grandes y medianas empresas, el equipo soporta hasta 256 conexiones 10GbE, 1.280 puertos GbE o una combinación de ambos en una estructura de conmutación de 7,68 Tbps. Todos los puertos operan con MPLS, IPv4 e IPv6.
Pero, además, MLX-32 incorpora diversas funciones de seguridad, como Unicast Reverse Path Forwarding (URFP) y Multi- virtual Router Forwarding (Multi-VRF). Gracias a URFP, el conmutador puede comprobar la fuente y la dirección de destino de cada paquete en sus tablas de rutas de Nivel 3, con el fin de prevenir la falsificación de paquetes. Multi-VRF, por su parte, permite crear dentro del equipo dominios de routing virtual, que, de forma similar a las LAN virtuales de Nivel 2, segregan los flujos de tráfico. Los usuarios también pueden instalar cortafuegos externos o listas de control de acceso internas para regular qué tráfico se comparte entre los segmentos de routers virtuales.
Conmutadores de próxima generación
------------------------------------------------------
Los conmutadores de próxima generación no sólo integrarán funciones de seguridad inteligente, además de las de cortafuegos, detección y prevención de intrusiones (IDS e IPS) y redes privadas virtuales (VPN), sino también la capacidad de tratar distintos tipos de optimización de aplicaciones, como aceleración Web, balanceo de cargas de servidor y optimización WAN. Esta tendencia busca hacer del conmutador un equipo no sólo capaz de examinar paquetes y entregarlos apropiadamente, sino también de examinar la corriente de aplicaciones en su totalidad (es decir, todo el flujo de paquetes), y tomar en consecuencia las acciones oportunas.
