hoy en día puedes tener un cortafuegos muy avanzado por ... · el ganador del test, cyberoam...
TRANSCRIPT
Analizamos 10 UTM de
menos de 1000 €TECHWORLD COMPARA
Hoy en día puedes tener un cortafuegos muy
avanzado por debajo de 1000 €. Pero, ¿qué
prestaciones ofrecen?, ¿es sencilla su instalación?
L os cortafuegos baratos no solían
tener capacidad para frenar los
intentos de intrusión avanzados,
ni virus, ni spam, ni tráfico de contenido
inapropiado. Pero desde hace unos
años, los precios de los cortafuegos
con protecc ión UTM han bajado
considerablemente. UTM son las
siglas de Unified Threat Management
y es un concepto vagamente definido.
En sentido amplio se trata de centralizar
las protecciones contra todo tipo de
amenazas en un mismo lugar.
Todos los cortafuegos de este test
tienen protección contra intrusos,
comúnmente denominada IPS o IDP. Si
un sencillo cortafuegos SPI con filtrado
de paquetes únicamente vigila el
nivel de tráfico de paquetes, el
IPS/IDP vigila también a nivel de
aplicación. Es capaz de detectar
desviaciones en el tráfico, cosa que un
cortafuegos más sencillo no puede, e
impedir así ataques e intentos de
intrusión que vengan camuflados
en tráfico aparentemente
normal. En la mayoría de los
casos, IPS/IDP están basados
en firmas, pero también
pueden trabajar de otra
manera.
Este artículo está publicado por IDG, la mayor editorial en el sector de IT/Tecnología, medio ambiente y negocios.
Una empresa pequeña con 12 emplea-
dos necesita un cortafuegos nuevo. La
empresa tiene a una persona
responsable de la estructura IT, que está
compuesta por cuatro servidores y los
ordenadores de los empleados. Para
minimizar el trabajo de proteger cada
ordenador, optan por la protección UTM.
Necesitarán además dos túneles VPN. El
presupuesto de ese año para
cortafuegos es de alrededor de 1000 €.
Escenario
Separata de TechWorld nº 7-2010
www.cyberoam.com/es. - [email protected]
Distribuidor oficial
Fabricante Cisco Systems Clavister Cyberoam D-Link Draytek Gateprotect Netgear Sonicwall Watchguard Zyxel
Modelo Small Business Pro SA520 SG 15 CR35ia DFL-260 NetDefend Vigor Pro 5300 GPA 250 Pro Secure UTM25 TZ210 XTM 22 Zywall USG-100
Prestaciones 30 22 22 27 21 12 14 14 15 25 17
Funciones y extras 20 8 15 15 15 17 16 15 16 18 16
Arranque 30 22 10 24 16 24 20 25 20 22 24
Administración 20 15 8 14 8 14 12 15 12 12 14
Total 100 67 55 80 60 67 62 69 63 77 71
Ventajas Precio de compra yprestaciones
Coste anual Prestaciones, fácil de usar Función de marcha atrás enla interfax, coste anual
Precio de adquisición yanual, interfaz rápido
Interfaz agradable Fácil de usar, interfazrápido
Varias guias deconfiguración
Prestaciones, wi-fi Precio de adquisición,coste anual
Desventajas Sin escaneo anti-virus Arranque complejo, cofigura-ción exigente
Adquisición cara, costeanual alto
Configuración exigente Prestaciones Coste anual poco claro,problema de prestaciones
Prestaciones Prestaciones Interfaz lenta, costeanual alto
Ninguna en particular
Puntuación
Así realizamos el test
Cyberoam - CR35ia
Hoy en día puedes tener un cortafuegos muy
avanzado por debajo de 1000 €. Pero, ¿qué
prestaciones ofrecen?, ¿es sencilla su instalación?
Todos los cortafuegos del test menos
el Cisco SA520, realizan escaneo en
tiempo real para detectar virus en el
tráfico. Cisco trabaja de otra manera,
el cortafuegos controla el estado de la
protección antivirus en los ordena-
dores de los clientes y sólo los clientes
con protección antivirus actualizada
pueden recibir tráfico. Esto significa
que las prestaciones del Cisco SA520
no pueden ser del todo comparadas
con las del resto, pero aún así los
resultados indican que la manera de
trabajar de Cisco tiene bastante
sentido: el escaneo en tiempo real
normalmente consume demasiadas
prestaciones para lo que realmente
ofrece en seguridad. Nosotros considera-
mos que un escaneo de virus del
cortafuegos difícilmente puede
sustituir una protección antivirus local
en cada cliente, especialmente
mientras existan ordenadores
portátiles que se utilicen tanto dentro
como fuera de la protección del corta-
fuegos. También hay que puntuali-
zar que el Zyxel USG-100 puede contro-
lar la protección antivirus de los clientes.
Ventajas de la detección en tiempo realAunque el escaneo en tiempo real no
implica poder eliminar la protección
antivirus en los ordenadores de los
clientes, creemos que tiene sus ventajas.
La conexión a Internet de muchas
compañías no es tan rápida como para
que se perciba un descenso notable por
la acción del escaneo antivirus del
tráfico. Aunque exista una protección
antivirus local en los clientes, uno
se siente más seguro si no se dejan
entrar códigos dañinos en la red.
La mayoría de los cortafuegos del test
también ofrecen distintas formas de
filtro antispam y de filtro de conteni-
dos. El primero puede ser de gran
ayuda, pero también puede resultar
engorroso si quieres tener un control
absoluto del tipo de spam que
recibes. Si el cortafuegos elimina el
spam sospechoso, pierdes toda esa
información. Con respecto al filtro de
contenidos somos escépticos: tiene
una tendencia a “detener mosquitos y
dejar pasar elefantes”. En este test
nos hemos centrado en las que, según
nuestro punto de vista, son las dos
formas más interesantes de protec-
ción: la protección contra intrusos y la
protección antivirus. Hemos estudiado
la sencillez de instalación de estas
protecciones y cómo afectan a las
prestaciones.
“Nos hemos
centrado en las
que, según
nuestro punto
de vista, son las
dos formas más
interesantes de
protección:
la protección
contra intrusos
y la protección
antivirus”.
El test se centra principalmente en la medición de
prestaciones con y sin funciones UTM, y en evaluar las
interfaces. La medición de prestaciones consistió en hacer
pasar tráfico FTP a través de los cortafuegos. Como servidor
FTP elegimos Freeftpd, y como cliente Filezilla. Nuestros
datos de prueba eran un gran árbol de directorios de más
de 200 MB, con una serie de subdirectorios y un total de
300 archivos grandes y pequeños, de los cuales algunos
eran archivos zip.
Esto implicaba abrir y cerrar un montón de sesiones TCP,
escaneo antivirus de muchos archivos y descompresión de
archivos zip. El método de trabajo que seguimos consistió
en asignar direcciones a las distintas interfaces (WAN, test-
LAN y admin-LAN). Además evaluamos la activación de la
protección contra intrusos y protección antivirus, y cómo se
crean normas de cortafuegos o de apertura de puertos
(portforwarding) para tráfico http, en un supuesto servidor
web de un DMZ.
C yberoam CR 35ia es, junto con
Watchguard, el más caro de nuestra
parrilla de salida, tanto en precio
de adquisición como en coste anual.
Pero ofrece muchas prestaciones a
cambio. Obtuvimos un caudal de datos
de más de 100 MB/segundo con la
protección UTM activada – algo extraor-
dinario en esta categoría de precio.
La interfaz es clara e intuitiva, lo que hace
que la administración resulte muy fácil.
Tardamos menos de cinco minutos en
averiguar cómo se activaban la protec-
ción contra intrusos y la protección
antivirus, y eso sin mirar las instruccio-
nes. Un detalle agradable digno de
mención es que Cyberoam trae de serie
muchos ajustes estándares muy útiles,
como un conjunto de funciones adapta-
das para IPSec/VPN.
Cyberoam CR35ia es el mejor del test gracias a la combinación de buenas
prestaciones con una administración
directa e intuitiva. Es una elección algo
más cara pero muy acertada.
Conclusiones de TechWorld
L os niveles de precio de nuestra
parril la de salida son sin duda
atractivos. Draytek, con un precio
de adquisición por debajo de 300 Euros,
ofrece sin duda la protección más barata y aún
así aprueba en prestaciones. Cuatro partici-
pantes, Clavister, D-link, Netgerar y Zyxel,
rondan los 500 Euros, y de entre ellos destaca
especialmente el Zyxel, gracias a unas muy
buenas prestaciones, administración sencilla y
un coste anual bajo.
El coste anual afecta bastante a las conclusiones
de Techworld, y debes pararte y pensar por
cuánta protección en tiempo real quieres
pagar. La protección contra intrusos es
necesaria y merece la pena lo que se paga. La
conveniencia o no de un escaneo de virus es
más dudosa si cuentas con un presupuesto
bajo. Vas a necesitar algún tipo de protección
antivirus en los clientes de todas maneras,
sobre todo si tienes ordenadores portátiles que
en ocasiones salen fuera de la protección del
cortafuegos. La ventaja de tener protección
también en el cortafuegos es que automática-
mente se mantiene al día y que elimina
problemas antes de que entren en la red.
El ganador del test, Cyberoam CR35ia, es caro,
tanto por su precio de adquisición como por el
coste anual, pero a cambio te da mucho y es
sorprendentemente fácil de usar. Lo mismo se
puede decir de Watchguard XTM 22, que está
cerca de quitarle el primer puesto a Cyberoam.
Por su parte, Zyxel Zywall USG-100 destaca por
ser muy fácil de usar y de ofrecer buenas
prestaciones, y aún así tiene unos costes bajos
tanto de adquisición como de actualizaciones.
Pero la elección más económica es el más
lento, pero increíblemente barato, Draytek
Vigor Pro 5100.
Cyberoam CR35ia tiene un puerto WAN, un puerto LAN, un puerto DMZ, un puerto al que puedes asignar la función que elijas, un puerto consola para clavija RJ-45 y un puerto USB.
Datos
Fabricante: Cyberoam Contacto: www.cyberoam.com Modelo: CR35ia Precio aproximado: 855 €Garantía: 12 meses Conexiones: 1 WAN, LAN, DMZ, 1 libre asignación, 1 USB 1 puerto consola para clavija RJ-45UTM – Modelo de coste: Licencias anuales e independien-tes para IPS, protección antivirus, protección antispam y filtros web y de aplicación.UTM - Precios: Paquete de protección completo más soporte 354 €/año. Los diferentes módulos también se pueden adquirir por separado.UTM - Proveedor de la protección antivirus: Kaspersky.VPN – Tráfico soportado: 80 MB/segVPN - Coste por clientes: Sin costeVPN - Número de túneles simultáneos: 50
TECH
W
ORLD MEJOR RESU
LTADO
Fabricante Cisco Systems Clavister Cyberoam D-Link Draytek Gateprotect Netgear Sonicwall Watchguard Zyxel
Modelo Small Business Pro SA520 SG 15 CR35ia DFL-260
NetDefend Vigor Pro
5300 GPA 250 ProSecure UTM25 TZ210 XTM 22 Zywall
USG-100
Caudal de Datos
Varias sesiones sin UTM MB/seg 131,73 68,84 119,22 66,69 44,93 129,34 85,36 94,85 58,47 71,13
Varias sesiones con UTM MB/seg 32,02 28,64 37,44 27,36 7,79 8,52 13,72 15,19 37,44 22,7
Velocidad máxima sin UTM MB/seg 234,51 58,47 194 52,69 45,89 237,12 90,81 105,39 46,9 65,66
Velocidad máxima con UTM MB/seg 93,37 34,2 103,2 31,12 19,74 0 15,01 14,74 59,42 22,98
Consumo de energía
Mantenimiento W (vatios) 12,4 6 24,8 9,6 6,8 30,3 12,9 7,3 10,5 11,2
¡Ojo! Los resultados de las mediciones para Cisco SA520 no se deben comparar directamente con los demás, ya que carece de escaneo de virus.
Mediciones
TECH
W
ORLD MEJOR RESU
LTADO
TECH
W
ORLD MEJOR RESU
LTADO
TECH
W
ORLD RECOMEN
DADO
TECH
W
ORLD RECOMEN
DADO