VPN basadas en IPSec
Comparativa
Aunque los suministradores de seguridad disponen ya de productos para cualquier nivel lógico y posible localización de las redes corporativas, las pasarelas de redes privadas virtuales (VPN gateways) basadas en IPSec (IP Security) emergen ahora como la clase de soluciones más popular para establecer conexiones seguras sitio a sitio. De los productos de este tipo evaluados por la Network World Global Test Alliance de IDG Communications, los de CheckPoint, Cisco, Lucent y Nokia quedaron en cabeza, pero por sólo unas pocas décimas en la mayoría de los casos.
En las pruebas se han evaluado trece productos diferentes de las firmas Avaya, Secure Computing, Check Point, Cisco PIX, Cisco IOS, Hewlett-Packard, Lucent, Nokia, Nortel, RapidStream, RedCreek, WatchGuard y Microsoft. Especial atención se ha prestado a factores como la gestionabilidad estándar, el rendimiento y las funcionalidades específicas para el entorno empresarial. Como complemento, se ha añadido una serie de pruebas diseñadas con el propósito de determinar el nivel de interoperatividad de cada uno de ellos.
Antes de nada, es conveniente resaltar que se trató de una competición asombrosamente reñida: ningún producto destacó como vencedor en todas las categorías. Este toma y daca se refleja en la tabla de puntuación elaborada con los resultados, donde la mitad de las soluciones se clasifican a menos de un punto de las demás.
Para la realización de las pruebas se estableció una política de seguridad que hipotéticamente sería apropiada en una red de gran tamaño y multisitio –con múltiples centros de datos y sucursales donde existieran conmutadores, routers y cortafuegos–, y, a continuación, se evaluó en qué medida cada propuesta VPN podría encajar en ella. Se probó la interoperatividad de cada solución con las del resto de fabricantes, tanto en el establecimiento inicial de conexiones seguras como en el mantenimiento de la operación a largo plazo, durante días. También se midió el comportamiento de todos y cada uno de los sistemas cuando trabajaban con el resto, con la autoridad de certificado utilizada en la prueba y con el software cliente VPN más popular, así como su capacidad para manejar diferentes métodos de autenticación VPN.
INTEROPERATIVIDAD
Un punto importante a tener en cuenta para interpretar los resultados de las pruebas de interoperatividad es la ambigüedad de la especificación del estándar IPSec. Esto explica el hecho de que no todos los productos fueran capaces de trabajar con los de los demás fabricantes, incluso aunque en ellos se hubiera realizado una “correcta” implementación del protocolo. De esta forma, la interoperatividad se presenta como uno de los mayores escollos a superar por las firmas de VPN.
Parte esencial de la evaluación fue la puesta en funcionamiento de los productos en una infraestructura heterogénea donde todos quedaran integrados al mismo tiempo. Aunque casi todos eran capaces de ofrecer interoperatividad cuando negociaban una asociación de seguridad con la tecnología de otro fabricante en concreto, la intención era comprobar a qué habrían de enfrentarse realmente los profesionales de red cuando intentaran poner en marcha una verdadera red multifabricante segura. La más alta categoría en las pruebas de interoperatividad fue a recaer en el producto Sidewinder de Secure Computing. A continuación quedaron las propuestas de Avaya, Check Point, Cisco, Microsoft, Nortel y Nokia.
Las tablas de puntuación basadas en nuestros criterios de evaluación predefinidos colocaron a Cisco casi en la cúspide, pero encontramos severas restricciones en su implementación. Su interfaz de configuración por comandos ha sido al mismo tiempo una ventaja y un inconveniente. Algunos administradores de red se muestran firmes defensores del mismo, pero los diseñadores VPN aseguran que se trata de una interfaz poco confortable. Para mantener la configuración VPN gestionable dentro de un entorno de línea de comando, Cisco permite crear una única política de intercambio de clave Internet (Internet Key Exchange-IKE) por sistema. Esto no resultó un problema en las pruebas porque se trataba precisamente de establecer una sola política corporativa, pero sí sería un inconveniente en un entorno donde la política IKE variara según los sitios. De hecho, cuando se añadió el cliente SafeNet en el test de interoperatividad, fue obligado cambiar la configuración que se había predeterminada en Cisco PIX: podía funcionar con la política seleccionada, o con el cliente SafeNet, pero no con ambos al mismo tiempo.
ACCESOS NO AUTORIZADOS
En las pruebas se utilizaron certificados digitales emitidos por el servidor de clave de infraestructura pública (PKI- Public-Key Infraestructure) para realizar la autenticación sitio a sitio y se descubrió una enorme variabilidad en la forma en que las VPN sometidas al análisis interactuaron con ellos. Lo incuestionable es que el acceso no autorizado a las redes de las compañías es un gran problema, y las VPN pueden ayudar a resolverlo.
Sidewinder, Contivity 1600 de Nortel y VPN-1 de Check Point proporcionaron niveles de control satisfactorios sobre quién estaba entrando en la red y a qué recursos tenía acceso. Los tres permitieron especificar, en mayor o menor detalle, exactamente qué tipos de certificados eran necesarios si se deseaba franquear la frontera. Por el contrario, Access Point 1000 de Lucent y los productos de Cisco (PIX 525 e IOS) –este fabricante introdujo tanto IOS sobre una plataforma 7140 VPN Router optimizada con aceleración hardware como PIX 525, como productos sitio a sitio con diferentes capacidades y herramientas de diseño– proporcionaron una visión más relajada del control de acceso. Una vez se obtenía un certificado de la PKI, el usuario disfrutaba de total libertad para establecer cualquier tipo de conexión VPN que desease; algo que puede tener consecuencias fatales en un entorno extranet, donde no todo el mundo está compartiendo la misma PKI y donde, a menudo, tan importante es conseguir un certificado digital como su contenido específico sobre las acciones que autoriza a realizar.
VPN Server Appliance de Hewlett-Packard, RapidStream 2000, Ravlin 7160 de RedCreek y FireBox III 4500 de WatchGuard fallaron en el test de interoperatividad de certificado. En el caso de RedCreek y WatchGuard, ninguno soportó adecuadamente certificados externos para la autenticación sitio a sitio.
Windows 2000 Server de Microsoft, con su servicio VPN integrado, y Access Point de Lucent soportaron certificados, pero tuvieron problemas a la hora de dialogar con el soporte de certificados de otros productos. Por ejemplo, con Access Point fue necesario rebajar a la categoría de “secretos precompartidos” –un sistema de autenticación más compatible pero menos deseable– la funcionalidad para lograr interactuar con los sistemas de Avaya y Nokia. El producto de Lucent también falló cuando se trataba de dialogar con PIX de Cisco siguiendo la política que se había definido.
HP también causó problemas relacionados con algunos requerimientos de configuración extraños en su implementación de IPSec. La propuesta de este fabricante exige o iniciar siempre la asociación de seguridad IPSec o no hacerlo nunca. Y, en redes sitio a sitio, esta no es precisamente la forma en que suelen funcionar las cosas. El mantenimiento de las asociaci
En las pruebas se han evaluado trece productos diferentes de las firmas Avaya, Secure Computing, Check Point, Cisco PIX, Cisco IOS, Hewlett-Packard, Lucent, Nokia, Nortel, RapidStream, RedCreek, WatchGuard y Microsoft. Especial atención se ha prestado a factores como la gestionabilidad estándar, el rendimiento y las funcionalidades específicas para el entorno empresarial. Como complemento, se ha añadido una serie de pruebas diseñadas con el propósito de determinar el nivel de interoperatividad de cada uno de ellos.
Antes de nada, es conveniente resaltar que se trató de una competición asombrosamente reñida: ningún producto destacó como vencedor en todas las categorías. Este toma y daca se refleja en la tabla de puntuación elaborada con los resultados, donde la mitad de las soluciones se clasifican a menos de un punto de las demás.
Para la realización de las pruebas se estableció una política de seguridad que hipotéticamente sería apropiada en una red de gran tamaño y multisitio –con múltiples centros de datos y sucursales donde existieran conmutadores, routers y cortafuegos–, y, a continuación, se evaluó en qué medida cada propuesta VPN podría encajar en ella. Se probó la interoperatividad de cada solución con las del resto de fabricantes, tanto en el establecimiento inicial de conexiones seguras como en el mantenimiento de la operación a largo plazo, durante días. También se midió el comportamiento de todos y cada uno de los sistemas cuando trabajaban con el resto, con la autoridad de certificado utilizada en la prueba y con el software cliente VPN más popular, así como su capacidad para manejar diferentes métodos de autenticación VPN.
INTEROPERATIVIDAD
Un punto importante a tener en cuenta para interpretar los resultados de las pruebas de interoperatividad es la ambigüedad de la especificación del estándar IPSec. Esto explica el hecho de que no todos los productos fueran capaces de trabajar con los de los demás fabricantes, incluso aunque en ellos se hubiera realizado una “correcta” implementación del protocolo. De esta forma, la interoperatividad se presenta como uno de los mayores escollos a superar por las firmas de VPN.
Parte esencial de la evaluación fue la puesta en funcionamiento de los productos en una infraestructura heterogénea donde todos quedaran integrados al mismo tiempo. Aunque casi todos eran capaces de ofrecer interoperatividad cuando negociaban una asociación de seguridad con la tecnología de otro fabricante en concreto, la intención era comprobar a qué habrían de enfrentarse realmente los profesionales de red cuando intentaran poner en marcha una verdadera red multifabricante segura. La más alta categoría en las pruebas de interoperatividad fue a recaer en el producto Sidewinder de Secure Computing. A continuación quedaron las propuestas de Avaya, Check Point, Cisco, Microsoft, Nortel y Nokia.
Las tablas de puntuación basadas en nuestros criterios de evaluación predefinidos colocaron a Cisco casi en la cúspide, pero encontramos severas restricciones en su implementación. Su interfaz de configuración por comandos ha sido al mismo tiempo una ventaja y un inconveniente. Algunos administradores de red se muestran firmes defensores del mismo, pero los diseñadores VPN aseguran que se trata de una interfaz poco confortable. Para mantener la configuración VPN gestionable dentro de un entorno de línea de comando, Cisco permite crear una única política de intercambio de clave Internet (Internet Key Exchange-IKE) por sistema. Esto no resultó un problema en las pruebas porque se trataba precisamente de establecer una sola política corporativa, pero sí sería un inconveniente en un entorno donde la política IKE variara según los sitios. De hecho, cuando se añadió el cliente SafeNet en el test de interoperatividad, fue obligado cambiar la configuración que se había predeterminada en Cisco PIX: podía funcionar con la política seleccionada, o con el cliente SafeNet, pero no con ambos al mismo tiempo.
ACCESOS NO AUTORIZADOS
En las pruebas se utilizaron certificados digitales emitidos por el servidor de clave de infraestructura pública (PKI- Public-Key Infraestructure) para realizar la autenticación sitio a sitio y se descubrió una enorme variabilidad en la forma en que las VPN sometidas al análisis interactuaron con ellos. Lo incuestionable es que el acceso no autorizado a las redes de las compañías es un gran problema, y las VPN pueden ayudar a resolverlo.
Sidewinder, Contivity 1600 de Nortel y VPN-1 de Check Point proporcionaron niveles de control satisfactorios sobre quién estaba entrando en la red y a qué recursos tenía acceso. Los tres permitieron especificar, en mayor o menor detalle, exactamente qué tipos de certificados eran necesarios si se deseaba franquear la frontera. Por el contrario, Access Point 1000 de Lucent y los productos de Cisco (PIX 525 e IOS) –este fabricante introdujo tanto IOS sobre una plataforma 7140 VPN Router optimizada con aceleración hardware como PIX 525, como productos sitio a sitio con diferentes capacidades y herramientas de diseño– proporcionaron una visión más relajada del control de acceso. Una vez se obtenía un certificado de la PKI, el usuario disfrutaba de total libertad para establecer cualquier tipo de conexión VPN que desease; algo que puede tener consecuencias fatales en un entorno extranet, donde no todo el mundo está compartiendo la misma PKI y donde, a menudo, tan importante es conseguir un certificado digital como su contenido específico sobre las acciones que autoriza a realizar.
VPN Server Appliance de Hewlett-Packard, RapidStream 2000, Ravlin 7160 de RedCreek y FireBox III 4500 de WatchGuard fallaron en el test de interoperatividad de certificado. En el caso de RedCreek y WatchGuard, ninguno soportó adecuadamente certificados externos para la autenticación sitio a sitio.
Windows 2000 Server de Microsoft, con su servicio VPN integrado, y Access Point de Lucent soportaron certificados, pero tuvieron problemas a la hora de dialogar con el soporte de certificados de otros productos. Por ejemplo, con Access Point fue necesario rebajar a la categoría de “secretos precompartidos” –un sistema de autenticación más compatible pero menos deseable– la funcionalidad para lograr interactuar con los sistemas de Avaya y Nokia. El producto de Lucent también falló cuando se trataba de dialogar con PIX de Cisco siguiendo la política que se había definido.
HP también causó problemas relacionados con algunos requerimientos de configuración extraños en su implementación de IPSec. La propuesta de este fabricante exige o iniciar siempre la asociación de seguridad IPSec o no hacerlo nunca. Y, en redes sitio a sitio, esta no es precisamente la forma en que suelen funcionar las cosas. El mantenimiento de las asociaci
