Analizamos 10 UTM de

menos de 1000 €TECHWORLD COMPARA

Hoy en día puedes tener un cortafuegos muy

avanzado por debajo de 1000 €. Pero, ¿qué

prestaciones ofrecen?, ¿es sencilla su instalación?

L os cortafuegos baratos no solían

tener capacidad para frenar los

intentos de intrusión avanzados,

ni virus, ni spam, ni tráfico de contenido

inapropiado. Pero desde hace unos

años, los precios de los cortafuegos

con protecc ión UTM han bajado

considerablemente. UTM son las

siglas de Unified Threat Management

y es un concepto vagamente definido.

En sentido amplio se trata de centralizar

las protecciones contra todo tipo de

amenazas en un mismo lugar.

Todos los cortafuegos de este test

tienen protección contra intrusos,

comúnmente denominada IPS o IDP. Si

un sencillo cortafuegos SPI con filtrado

de paquetes únicamente vigila el

nivel de tráfico de paquetes, el

IPS/IDP vigila también a nivel de

aplicación. Es capaz de detectar

desviaciones en el tráfico, cosa que un

cortafuegos más sencillo no puede, e

impedir así ataques e intentos de

intrusión que vengan camuflados

en tráfico aparentemente

normal. En la mayoría de los

casos, IPS/IDP están basados

en firmas, pero también

pueden trabajar de otra

manera.

Este artículo está publicado por IDG, la mayor editorial en el sector de IT/Tecnología, medio ambiente y negocios.

Una empresa pequeña con 12 emplea-

dos necesita un cortafuegos nuevo. La

empresa tiene a una persona

responsable de la estructura IT, que está

compuesta por cuatro servidores y los

ordenadores de los empleados. Para

minimizar el trabajo de proteger cada

ordenador, optan por la protección UTM.

Necesitarán además dos túneles VPN. El

presupuesto de ese año para

cortafuegos es de alrededor de 1000 €.

Escenario

Separata de TechWorld nº 7-2010

www.cyberoam.com/es. - info@cyberoam-spain.com

Distribuidor oficial

Fabricante Cisco Systems Clavister Cyberoam D-Link Draytek Gateprotect Netgear Sonicwall Watchguard Zyxel

Modelo Small Business Pro SA520 SG 15 CR35ia DFL-260 NetDefend Vigor Pro 5300 GPA 250 Pro Secure UTM25 TZ210 XTM 22 Zywall USG-100

Prestaciones 30 22 22 27 21 12 14 14 15 25 17

Funciones y extras 20 8 15 15 15 17 16 15 16 18 16

Arranque 30 22 10 24 16 24 20 25 20 22 24

Administración 20 15 8 14 8 14 12 15 12 12 14

Total 100 67 55 80 60 67 62 69 63 77 71

Ventajas Precio de compra yprestaciones

Coste anual Prestaciones, fácil de usar Función de marcha atrás enla interfax, coste anual

Precio de adquisición yanual, interfaz rápido

Interfaz agradable Fácil de usar, interfazrápido

Varias guias deconfiguración

Prestaciones, wi-fi Precio de adquisición,coste anual

Desventajas Sin escaneo anti-virus Arranque complejo, cofigura-ción exigente

Adquisición cara, costeanual alto

Configuración exigente Prestaciones Coste anual poco claro,problema de prestaciones

Prestaciones Prestaciones Interfaz lenta, costeanual alto

Ninguna en particular

Puntuación

Así realizamos el test

Cyberoam - CR35ia

Hoy en día puedes tener un cortafuegos muy

avanzado por debajo de 1000 €. Pero, ¿qué

prestaciones ofrecen?, ¿es sencilla su instalación?

Todos los cortafuegos del test menos

el Cisco SA520, realizan escaneo en

tiempo real para detectar virus en el

tráfico. Cisco trabaja de otra manera,

el cortafuegos controla el estado de la

protección antivirus en los ordena-

dores de los clientes y sólo los clientes

con protección antivirus actualizada

pueden recibir tráfico. Esto significa

que las prestaciones del Cisco SA520

no pueden ser del todo comparadas

con las del resto, pero aún así los

resultados indican que la manera de

trabajar de Cisco tiene bastante

sentido: el escaneo en tiempo real

normalmente consume demasiadas

prestaciones para lo que realmente

ofrece en seguridad. Nosotros considera-

mos que un escaneo de virus del

cortafuegos difícilmente puede

sustituir una protección antivirus local

en cada cliente, especialmente

mientras existan ordenadores

portátiles que se utilicen tanto dentro

como fuera de la protección del corta-

fuegos. También hay que puntuali-

zar que el Zyxel USG-100 puede contro-

lar la protección antivirus de los clientes.

Ventajas de la detección en tiempo realAunque el escaneo en tiempo real no

implica poder eliminar la protección

antivirus en los ordenadores de los

clientes, creemos que tiene sus ventajas.

La conexión a Internet de muchas

compañías no es tan rápida como para

que se perciba un descenso notable por

la acción del escaneo antivirus del

tráfico. Aunque exista una protección

antivirus local en los clientes, uno

se siente más seguro si no se dejan

entrar códigos dañinos en la red.

La mayoría de los cortafuegos del test

también ofrecen distintas formas de

filtro antispam y de filtro de conteni-

dos. El primero puede ser de gran

ayuda, pero también puede resultar

engorroso si quieres tener un control

absoluto del tipo de spam que

recibes. Si el cortafuegos elimina el

spam sospechoso, pierdes toda esa

información. Con respecto al filtro de

contenidos somos escépticos: tiene

una tendencia a “detener mosquitos y

dejar pasar elefantes”. En este test

nos hemos centrado en las que, según

nuestro punto de vista, son las dos

formas más interesantes de protec-

ción: la protección contra intrusos y la

protección antivirus. Hemos estudiado

la sencillez de instalación de estas

protecciones y cómo afectan a las

prestaciones.

“Nos hemos

centrado en las

que, según

nuestro punto

de vista, son las

dos formas más

interesantes de

protección:

la protección

contra intrusos

y la protección

antivirus”.

El test se centra principalmente en la medición de

prestaciones con y sin funciones UTM, y en evaluar las

interfaces. La medición de prestaciones consistió en hacer

pasar tráfico FTP a través de los cortafuegos. Como servidor

FTP elegimos Freeftpd, y como cliente Filezilla. Nuestros

datos de prueba eran un gran árbol de directorios de más

de 200 MB, con una serie de subdirectorios y un total de

300 archivos grandes y pequeños, de los cuales algunos

eran archivos zip.

Esto implicaba abrir y cerrar un montón de sesiones TCP,

escaneo antivirus de muchos archivos y descompresión de

archivos zip. El método de trabajo que seguimos consistió

en asignar direcciones a las distintas interfaces (WAN, test-

LAN y admin-LAN). Además evaluamos la activación de la

protección contra intrusos y protección antivirus, y cómo se

crean normas de cortafuegos o de apertura de puertos

(portforwarding) para tráfico http, en un supuesto servidor

web de un DMZ.

C yberoam CR 35ia es, junto con

Watchguard, el más caro de nuestra

parrilla de salida, tanto en precio

de adquisición como en coste anual.

Pero ofrece muchas prestaciones a

cambio. Obtuvimos un caudal de datos

de más de 100 MB/segundo con la

protección UTM activada – algo extraor-

dinario en esta categoría de precio.

La interfaz es clara e intuitiva, lo que hace

que la administración resulte muy fácil.

Tardamos menos de cinco minutos en

averiguar cómo se activaban la protec-

ción contra intrusos y la protección

antivirus, y eso sin mirar las instruccio-

nes. Un detalle agradable digno de

mención es que Cyberoam trae de serie

muchos ajustes estándares muy útiles,

como un conjunto de funciones adapta-

das para IPSec/VPN.

Cyberoam CR35ia es el mejor del test gracias a la combinación de buenas

prestaciones con una administración

directa e intuitiva. Es una elección algo

más cara pero muy acertada.

Conclusiones de TechWorld

L os niveles de precio de nuestra

parril la de salida son sin duda

atractivos. Draytek, con un precio

de adquisición por debajo de 300 Euros,

ofrece sin duda la protección más barata y aún

así aprueba en prestaciones. Cuatro partici-

pantes, Clavister, D-link, Netgerar y Zyxel,

rondan los 500 Euros, y de entre ellos destaca

especialmente el Zyxel, gracias a unas muy

buenas prestaciones, administración sencilla y

un coste anual bajo.

El coste anual afecta bastante a las conclusiones

de Techworld, y debes pararte y pensar por

cuánta protección en tiempo real quieres

pagar. La protección contra intrusos es

necesaria y merece la pena lo que se paga. La

conveniencia o no de un escaneo de virus es

más dudosa si cuentas con un presupuesto

bajo. Vas a necesitar algún tipo de protección

antivirus en los clientes de todas maneras,

sobre todo si tienes ordenadores portátiles que

en ocasiones salen fuera de la protección del

cortafuegos. La ventaja de tener protección

también en el cortafuegos es que automática-

mente se mantiene al día y que elimina

problemas antes de que entren en la red.

El ganador del test, Cyberoam CR35ia, es caro,

tanto por su precio de adquisición como por el

coste anual, pero a cambio te da mucho y es

sorprendentemente fácil de usar. Lo mismo se

puede decir de Watchguard XTM 22, que está

cerca de quitarle el primer puesto a Cyberoam.

Por su parte, Zyxel Zywall USG-100 destaca por

ser muy fácil de usar y de ofrecer buenas

prestaciones, y aún así tiene unos costes bajos

tanto de adquisición como de actualizaciones.

Pero la elección más económica es el más

lento, pero increíblemente barato, Draytek

Vigor Pro 5100.

Cyberoam CR35ia tiene un puerto WAN, un puerto LAN, un puerto DMZ, un puerto al que puedes asignar la función que elijas, un puerto consola para clavija RJ-45 y un puerto USB.

Datos

Fabricante: Cyberoam Contacto: www.cyberoam.com Modelo: CR35ia Precio aproximado: 855 €Garantía: 12 meses Conexiones: 1 WAN, LAN, DMZ, 1 libre asignación, 1 USB 1 puerto consola para clavija RJ-45UTM – Modelo de coste: Licencias anuales e independien-tes para IPS, protección antivirus, protección antispam y filtros web y de aplicación.UTM - Precios: Paquete de protección completo más soporte 354 €/año. Los diferentes módulos también se pueden adquirir por separado.UTM - Proveedor de la protección antivirus: Kaspersky.VPN – Tráfico soportado: 80 MB/segVPN - Coste por clientes: Sin costeVPN - Número de túneles simultáneos: 50

TECH

W

ORLD MEJOR RESU

LTADO

Fabricante Cisco Systems Clavister Cyberoam D-Link Draytek Gateprotect Netgear Sonicwall Watchguard Zyxel

Modelo Small Business Pro SA520 SG 15 CR35ia DFL-260

NetDefend Vigor Pro

5300 GPA 250 ProSecure UTM25 TZ210 XTM 22 Zywall

USG-100

Caudal de Datos

Varias sesiones sin UTM MB/seg 131,73 68,84 119,22 66,69 44,93 129,34 85,36 94,85 58,47 71,13

Varias sesiones con UTM MB/seg 32,02 28,64 37,44 27,36 7,79 8,52 13,72 15,19 37,44 22,7

Velocidad máxima sin UTM MB/seg 234,51 58,47 194 52,69 45,89 237,12 90,81 105,39 46,9 65,66

Velocidad máxima con UTM MB/seg 93,37 34,2 103,2 31,12 19,74 0 15,01 14,74 59,42 22,98

Consumo de energía

Mantenimiento W (vatios) 12,4 6 24,8 9,6 6,8 30,3 12,9 7,3 10,5 11,2

¡Ojo! Los resultados de las mediciones para Cisco SA520 no se deben comparar directamente con los demás, ya que carece de escaneo de virus.

Mediciones

TECH

W

ORLD MEJOR RESU

LTADO

TECH

W

ORLD MEJOR RESU

LTADO

TECH

W

ORLD RECOMEN

DADO

TECH

W

ORLD RECOMEN

DADO