Familia de productos de Allot

Abril,2008

The information contained in this document is accurate at the time of printing. Allot Communications makes no representations or warranties, express or implied, concerning the content, completeness or accuracy of the information contained therein. Allot Communications 2008 All rights reserved. NetEnforcer is a registered trademark of Allot. Other product names and logos mentioned herein may be trademarks and/or registered trademarks of their respective companies. No part of this may be reproduced, disclosed or used except as authorized by contract or other express written permission by Allot.

AGENDA1. INTRODUCCIN.......................................................................................................... 1.1 Resumen Ejecutivo.................................................................................................. 2. DESCRIPCIN DE FUNCIONALIDADES DE ALLOT .................................................................. 3. DESCRIPCIN DE LAS FUNCIONALES DE LOS NETENFORCERS ....................................... 3.1 Todos los dispositivos NetEnforcer .......................................................................... 3.2 Topologas soportadas por los NetEnforcer 3.3.Topologas de Alta Disponibilidad............................................................................ 4. DESCRIPCION DEL NETXPLORER ............................................................................ 4.1Introduccin ............................................................................................................. 4.2 Caractersticas Principales ...................................................................................... 4.3 Graficas del NetXplorer ........................................................................................... 5. DESCRIPCIN DE DATA COLLECTOR ....................................................................... 5.1 Introduccin............................................................................................................. 5.2 Escenarios .............................................................................................................. 5.3 Capacidad de funcionamiento ................................................................................. 6. PRINCIPALES PUNTOS FUERTES DE ALLOT RESPECTO A SUS COMPETIDORES ........................ 7. NETXPLORER PROVISIONER .............................................................................................. ANEXO 1. DATASHEETS DE LOS PRODUCTOS .........................................................................

1. INTRODUCCIN

Esta podra ser una arquitectura tpica de una red corporativa, y aqu vemos como encajara la solucin de Allot en ella. Disponemos de mltiples lupas que ven todo lo que pasa por la red (NetEnforcers) que se comunican con una consola de gestin centralizada (NetXplorer) que va a priorizar, bloquear, proteger y monitorizar todo el trfico que pasa por la red. Asimismo nuestra consola de gestin, se puede comunicar con otro appliance (SMP) que proporciona la posibilidad de aplicar accounting and billing por usuario y no direccin IP (dicho usuario se puede autenticar mediante un RADIOUS, o DHCP). Otro dispositivo que ayuda a todo este concepto de inteligencia de red son nuestros productos ServiceProtector que proporciona mitigacin y control contra ataques maliciosos, y gusanos. Las caractersticas principales de los productos Allot, y que hacen que pueda ser distinguido como un lder en soluciones de inteligencia de red son las que se proceden a enumerar: Network visibility & Network Intelligence

Network troubleshooting (Analisis Forense) Firewall de nivel 7 Signature Base, DPI (Deep Packet Inspection) Control de Conexiones Limitacin de Conexiones por regla Asignacin de Ancho de Banda por Conexin Proteccin del Data center / Proteccin de DoS Control de DDoS y Trafico Malicioso (NetDeflector) Control de P2P Control de Aplicaciones Gestion de Ancho de Banda (QoS) Gestin de Servicios. Control de Trfico Virtual Subscriber Management. Control de Trfico por Subscriber Accounting and Billing Los productos que permiten que Allot pueda realizar todas estas funciones son los siguientes:

2. Descripcin de funcionalidades de los productos ALLOT Escalabilidad de la solucin mediante UPGRADES de HARDWARE a 2,5 Gigas de throughput Full Duplex. El sistema es capaz de soportar al menos 4096 polticas o virtual channels y podr ser escalable por software hasta 80000. Puerto de gestin independiente que se puede securizar tras una DMZ. El trfico de gestin no viaja por los puertos de trfico. Mayor seguridad ya que los puertos de trfico no tienen direccin IP y por lo tanto son transparentes para la red y para ataques de DoS. Control del nmero de conexiones simultneas por servicio y del nmero de nuevos intentos de conexin simultneos que el NE soporta. Triple proteccin en caso de cada de un equipo. Si se produce un fallo en el equipo, entrara primero en funcionamiento el equipo de alta disponibilidad y en caso de que este caiga entrar en funcionamiento el Bypass. Bypass pasivo. Se debe incluir el software necesario para poder realizar las labores de monitorizacin y priorizacin de trfico. El dispositivo debe disponer de la posibilidad de instalar el sistema operativo en memoria flash, o bien en disco duro. Adems debe disponer de un puerto de consola (RJ45) El rendimiento del equipo no se degradar en funcin del nmero de flujos que atraviesan el equipo. Es decir, si el througput del equipo es por ejemplo de 1 giga, se mantiene aunque el nmero de flujos sea muy alto. Interfaz web basada en java, ms rpida y verstil que la interfaz http. Permite hacer un zoom de la informacin de forma que se puede muy fcilmente de una vista menos detallada, avanzar a una vista muy detallada para averiguar posibles problemas u obtener ms informacin. Clasificacin de trfico por direccin MAC y por direccin IP. Ambas clasificaciones se podr hacer en una misma regla. Capacidad de clasificar trfico en funcin de la hora del da Capacidad de clasificar trfico en Vlans (soporte del protocolos 802.1q) Clasificacin por el campo TOS del los paquetes IP y MPLS. Capacidad de clasificacin y gestin de trfico http por url, extensin de archivo o content type. Clasificacin de trfico SMTP por dominio. Clasificacin de trfico FTP por comandos y por nombre de fichero.

Soporte ms avanzado de aplicaciones P2P. Por ejemplo, se reconocen aplicaciones P2P encriptadas en SSL. Al menos se debern soportar los siguientes protocolos P2P: KaZaa (V1 & V2) included Upload Vs Download, Grokster, iMesh, Poisned, Diet Kaza, eDonkey, eMule, xMule, Gnutella included Upload Vs Download, Ares, Shareaza, Morpheus, Gnucleus, XoloX, LimeWire, FreeWire, Bearshare, Acquisition, Nova, Phex, Gtk-Gnutella, Swapper.NET, Warez, BitTorrent, WinMX, Direct connect, DC++, BCDC++, OverNet, MP2P, Motilino, Blubster, Piolet, RockitNet, Winny 1&2, Hotline, Manolito, Piolet, Blubster, Jabber, MadsterAimster, SoulSeek, EarthStation5 Included SSL download support, Filetopia Gestin de ancho de banda independiente en cada sentido de la comunicacin: Upstream y Downstream. Clasificacin de trfico H.323 y de codecs de VoIP, as como SIP o Skype Posibilidad de definir Templates de reglas de QoS para poder generar un gran nmero de reglas iguales de una forma fcil y escalable. Capacidad para consultar sistemas de provisioning externos para obtener IPs variables que se utilicen en la clasificacin del trfico. Posibilidad de clasificar el trfico de usuarios que cambian su IP de forma dinmica. Herramienta de gestin centraliza: Monitoriza hasta 4 semanas de informacin en tiempo real con muestras de 30 seg o de 5 minutos Definicin de polticas a mltiples equipos de forma centralizada. Capacidad de generacin de informes y vista al detalle para uno o varios equipos a la vez. Recopila toda la informacin de trficos que atraviesa el equipo de forma que se pueden buscar y generar histricos de aquellos datos que se desean durante varios aos. Capacidad de generar informes de aplicaciones y usuarios en la misma vista Capacidad de saber las conversaciones entre mltiples usuarios Distribucin de polticas a mltiples equipos Capacidad de generar y correlar alertas en mltiples equipos Capacidad de generar informes de forma automtica o manual de cualquier parmetro monitorizado de la red. Estos informes se podrn generar en diferentes formatos como:pdf, html, jpg o csv. Posibilidad de incorporar sistemas de provisioning externo que permite delegar la administracin de las polticas de QoS y monitorizacin de un cliente concreto en el propio cliente. Permite implementar polticas de QoS virtuales o delegadas por subscriptor. Esta herramienta es muy til para organizaciones que quieren que determinados clientes puedan acceder y controlar sus

polticas de QoS sin que por supuesto puedan tener acceso a las de otros clientes. Actualizacin del catlogo de aplicaciones va WEB con un simple clic en el icono de actualizacin de aplicaciones o de forma automtica, programando la actualizacin del catlogo. Esta funcionalidad permite de forma similar a como funciona un antivirus bajarse el ltimo catlogo disponible que incluye las nuevas aplicaciones reconocidas y detectadas. Posibilidad de que el cliente defina sus propias aplicaciones propietarias y por tanto pueda gestionar el ancho de banda de las mismas. Definicin de Alertas que permitan superados determinados umbrales de consumo de trfico por aplicacin/servicio/usuario reconfigurar la poltica de QoS, generar una alarma, enviar un correo electrnico, SMS, etc. MIBs propietarias que se pueden integrar en sistemas de gestin independientes como HP OV, BMC PATROL, MRTG y otros. Soporte de diferentes mecanismos de redundancia y alta disponibilidad: Serial Redundancy Parallel redundancy Active Redundancy Arquitectura Hardware basada en NetWork Processor que permite manejar mltiples flujos en pararelo aumentando el rendimiento del equipo. El dispositivo debe disponer de la posibilidad de instalar el sistema operativo en memoria flash. Gestin de ancho de banda independiente en cada sentido de la comunicacin: Upstream y Downstream. Clasificacin de trfico H.323 y de codecs de VoIP, as como SIP o Skype Posibilidad de definir Templates de reglas de QoS para poder generar un gran nmero de reglas iguales de una forma fcil y escalable. Capacidad para consultar servidores LDAP o sistemas de provisioning externos para obtener IPs variables que se utilicen en la clasificacin del trfico. Posibilidad de clasificar el trfico de usuarios que cambian su IP de forma dinmica. Posibilidad de incorporar un Add-on para accounting que se puede integrar con sistemas de billing. Posibilidad de incorporar un Add-on para redireccin de trfico a un portal WEB o un sistema externo de control de trfico. Posibilidad de incorporar sistemas de provisioning externo que permite delegar la administracin de las polticas de QoS y monitorizacin de un cliente concreto en el propio cliente. Permite implementar polticas de QoS virtuales o delegadas por subscriptor. Esta herramienta es muy til para organizaciones

que quieren que determinados clientes puedan acceder y controlar sus polticas de QoS sin que por supuesto puedan tener acceso a las de otros clientes.

3 Descripcin de las funcionalidades de NetEnforcer3.1 Dispositivos NetEnforcerAllot dispone de una amplia gama de productos NetEnforcer que permiten que nuestro producto pueda ser implantado desde en pequeas Pymes a grandes proveedores de Servicio. He aqu una muestra de cada uno de nuestros modelos:

NETENFORCERS 400 y 800 Los modelos ms orientados al mercado de pequea y mediana empresa seran las gamas de los modelos 400 y 800. Ambos tienen similitudes y algunas diferencias puntuales, una de las ms importantes entre ambas gamas, es que el modelo 800 posee un bypass externo. Pues con esto se evitara realizar ms de un corte en la red. Asimismo el nmero de polticas y de ancho de banda que es posible gestionar con un equipo de la gama 800 es muy superior al de la gama 400.

Veamos el rango de polticas y de QoS que son capaces de soportar los equipos 400 y 800.

Nuestros equipos de la gama 800 tambin pueden ser solicitados con interfaces de fibra. Los interfaces de los equipos 400 son 10/100 (excepto en el caso del 404 que tiene uno de sus interfaces 10/100/1000) y los 800 en fibra son a GIGA, y en cobre a 10/100/1000. Otra diferencia es que los equipos 800 llevan 3 fuentes de alimentacin, y 2 de ellas redundadas. Veamos algunas cosas que se pueden hacer con un 400 y 800. Inspeccin de contenido:

Veamos todas las posibilidades que ofrecen en el tema de contenido todos los equipos NetEnforcer

Una vez vistos los equipos de la gama para pequeas y medianas empresas, veamos los productos de Allot para grandes empresas y operadores. NETENFORCERS 1000 y 2500 Estos equipos se caracterizan por el alto nivel de QoS que son capaces de gestionar as como el elevado nmero de conexiones concurrentes que soportan y la posibilidad de tener un elevado nmero de polticas. Adicionalmente el modelo 2500 posee una importante funcionalidad, la redireccin fsica a nivel 2, de una parte del trfico que anteriormente hubiramos diferenciado del resto, es decir, pongamos que queremos enviar a un dispositivo limpiador de Spam , nuestro correo electrnico, pues con este modelo podamos diferenciar que es correo electrnico y luego nicamente ese trfico redirigirlo a dicho dispositivo. Veamos una tabla con las caractersticas de trfico y polticas que soportan estos equipos:

Tanto los equipos 1000 como 2500 tienen la posibilidad de ser comprados en fibra LX5, o LX20, o ZX.

Los interfaces de los equipos 1000 y 2500 en fibra son a GIGA, y en cobre a 10/100/1000.

3.2 Topologas SoportadasA continuacin se muestran todas las topologas de red que soportan nuestros equipos

Una vez comprobado todas las posibilidades que tenemos para los enlaces de 2 interfaces, veamos que topologas podemos soportar con 4 enlaces.

Como podemos apreciar, Allot soporta todas las configuraciones posibles de las arquitecturas de red de las empresas, dando un valor aadido a toda la red.

3.3 Alta DisponibilidadMuchas empresas tienen todos sus enlaces redundados para que en caso de fallo no se caiga toda su red. Estos son algunos casos de topologas de redundancia en los clientes y veremos como puede Allot tambin soportar una Alta Disponibilidad de sus equipos

La solucin que ofrece Allot para estas arquitecturas sera la que sigue: Para topologa mallada:

Para otro tipo de topologas de 1,2 o 4 enlaces:

4.

DESCRIPCION DEL NETXPLORER

4.1 IntroduccinNetXplorer proporciona una visinprofunda y anlisis necesarios para entender las redes y hacer el enlace directo entre las metas del negocio y el trfico y comportamiento de la red. NetXplorer facilita el proceso de toma de decisiones y racionaliza la eficiencia de la red, siendo un sistema altamente escalable con interfaz grfica de usuario (GUI), para ofrecer un inigualable anlisis de red, apropiado para la localizacin de averas a corto plazo o para entender los patrones de uso y las tendencias a largo plazo. La capacidad de control incluye, el aprovisionamiento simultneo de polticas y configuracin, as como la actualizacin y distribucin de datos todos los dispositivos a NetEnforcer administrados de Allot. Para los proveedores de servicio, NetXplorer proporciona la visibilidad y las herramientas que entregan la informacin y el control del trfico y de los suscriptores en las redes de banda ancha. Esto es especialmente importante para controlar los costos de operacin, reducir la desercin de suscriptores, incrementar los ingresos (ARPU) y proporcionar nuevos servicios diferenciados. Para las empresas, NetXplorer ofrece la visibilidad de red que se extiende ms all de la infraestructura y permite enlazar las polticas de negocios con las acciones especficas de la red, lo cual es especialmente importante para que los gerentes garanticen las aplicaciones de misin crtica y controlen los costos de la red.

4.2 Caractersticas principales Visibilidad de Red, Network Visibility Real Time Monitorizacin Long Term Monitorizacin Auto Descubrimiento de Aplicaciones Gestin Centralizada de Politicas Definicin de QoS Firewall de nivel 7 Redireccin de Puertos DoS control Generacin de Reports Programacin de Reports

Eventos & Alarmas

Interfaz intuitiva Control sin precedentes rpido y sencillo, mediante una interfaz amigable para el usuario, que ofrece una perspectiva lgica de toda la red, as como el poder para navegar rpidamente hasta el nivel del dispositivo, del usuario o de la aplicacin Generacin detallada de informes y Anlisis Anlisis de la informacin en tiempo real y peridica, para la generacin de informes a largo plazo, la planeacin de la capacidad, el seguimiento de uso y la optimizacin del paquete de servicios Seguridad de Vanguardia Monitoreo global del trfico para una variedad de trfico sospechoso, lo que permite la fcil deteccin de posibles ataques de DoS/DDoS o de ataques a la seguridad surgidos desde la red, definicin de umbrales para monitorear las condiciones de la red, generacin de alarmas, ejecucin automtica de las acciones correctivas y definicin de reglas globales para bloquear el trfico malicioso y mitigar su efecto. ROI rpido Administracin centralizada completa y eficiente, que garantiza la aplicacin global y el control a nivel de usuario, reduce la complejidad y los costos de operacin en curso e incrementa el tiempo activo de la red. Esto permite mantener el ptimo rendimiento de la operacin del negocio y de la red.

4.3 Grficas de Monitorizacin de NetXplorerA continuacin se recogen debajo algunas grficas que muestran las capacidades de monitorizacin de los productos de Allot.

Distribucin de Trfico

Concepto de DRILL DOWN

FAVORITE VIEW

Capacidad de mostrar los TOP N ms activos por mltiples causas

CAPACIDAD DE DETECCION DE GUSANOS

POPULARITY REPORTS.

5.5.1

DESCRIPCIN de DATA COLLECTORIntroduccin

El dispositivo collector se utiliza para recopilar toda la informacin de las bases de short Term que deberan ser enviadas de los NetEnforcers al servidor de NetXplorer. La razn de utilizar utilizar colectores distribuidos es para escalabilizar la solucin a implementar. Cada collector puede soportar multiples NetEnforcers ,por lo que teniendo mltiples colectores tu puedes tener controlados todos ellos con un nico servidor sin necesidad de que ste tenga una caractersticas realmente elevadas. Esto es posible , porque NetXplorer puede dividir el tamao de datos a capturar de su base de datos de tiempo real entre los mltiples short term que le vienen de las bases de datos.

5.2

Escenarios

Una segunda razn para usar collectores distribuidos es superar los asuntos de conectividad en redes distribuidas. Para conseguir una buena recoleccin de datos, la velocidad de la lnea fsica entre el NetEnforcer y el collecotr debe ser de almenos 10Mbps. Esto es sobre todo principalmente para los dispositivos de caudal de proceso y transferencia altos como 1000 y 2500. Si se tiene un equipo de gestin de proceso de QoS y transferencia bajo - por ejemplo, un - 400 con el caudal de proceso y transferencia de 2 o 10 Mbps, las estadsticas pueden ser guardadas sin problemas conexiones ms lentas sin la necesidad de collectores distribuidos. Arriba hasta ahora, los collectores han sido situados sobre el servidor de NetXplorer siempre, pero en algunos casos la topologa de la red no permite una lnea de 10Mbps entre el NetEnforcer y el servidor. Esto puede ocurrir por ejemplo cuando la red es extendida sobre ubicaciones geogrficas lejanas. En tal caso el uso de colectores es la una necesidad. La lnea entre los NetEnforcers y sus collectores ser por lo menos 10Mbps. Pero la lnea entre los colectores y el servidor de NetXplorer puede ser de la capacidad ms baja. Necesitaremos a un collector para cada zona de la red que no puede garantizar una conexin de 10Mbps al servidor.

Otro posible escenario es la posibilidad de tener redundados los datos que se guardan en el servidor para no perder nunca la monitorizacin ni los histricos en ningn momento

5.3 Capacidad de almacenamiento de los collectoresNos podra caber la duda de que cantidad de equipos es capaz de soportar un collector, Pues la siguente grfica nos muestra estos datos:

6. Principales diferencias entre Allot de sus competidores Puerto de gestin independiente que se puede securizar tras una DMZ. El trfico de gestin no viaja por los puertos de trfico. Mayor seguridad ya que los puertos de trfico no tienen direccin IP y por lo tanto son transparentes para la red y para ataques de DoS. El rendimiento del equipo no se degradaen funcin del nmero de flujos que atraviesan el equipo. Es decir, si el througput del equipo es por ejemplo de 1 giga, se mantiene aunque el nmero de flujos sea muy alto. Gestin de ancho de banda independiente en cada sentido de la comunicacin: Upstream y Downstream. MIBs propietarias que se pueden integrar en sistemas de gestin independientes como HP OV, BMC PATROL, MRTG y otros. Interfaz web basada en java, ms rpida y verstil que la interfaz http. Permite hacer un zoom de la informacin de forma que se puede muy fcilmente de una vista menos detallada, avanzar a una vista muy detallada para averiguar posibles problemas u obtener ms informacin Capacidad de planificacin de informes automticos por dispositivo, aplicacin, usuario, grupo de aplicaciones en mltiples equipos, etc. Capacidad de enviar dichos informes de forma automtica al administrador de la red de forma peridica. Capacidad de monitorizacin de histricos de varias semanas, varios meses y varios aos. Capacidad de saber las conversaciones entre mltiples usuarios Capacidad de generar informes de aplicaciones y usuarios en la misma vista

Capacidad de mostrar cuales son las aplicaciones que son ms usadas por los usuarios sin necesidad de que stas sean las que ms ancho de banda gastan (POPULARITY REPORTS)

Posibilidad de integrarse con nuestra herramienta SMP y dar perfiles de trfico por usuarios que se autentican contra un RADIUS o un DHCP

Arquitectura de red idnea para la implementacin del SMP:

7. Descripcin de la herramienta NETXPLORER PROVISIONERArquitectura de NPP

Los usuarios se autentican contra nuestro NPP (NetXplorer Provisioner) y ste a su vez comprueba con el Netxplorer Sever los privilegios que tiene dicho usuario (NetXplorer Server se comunica con un Radius). As cada usuario que se autentique podr ver unas determinadas polticas y podr actuar o monitorizar slo aquellas que estn habilitadas para su cuenta. Con esta herramienta obtenemos un mini NetXplorer, ya que vamos a poder crear polticas y monitorizar por PIPE. Todo esto se hace en un entorno Web muy amigable y sencillo de usar.

Un ejemplo, el usuario Jonathan se autentica con su usuario y password y l slo ve su perfil de polticas que hemos definido previamente, pudiendo monitorizar y controlar slo esas polticas que definamos dentro de nuestro NetXplorer.

Un ejemplo de las grficas que pueden ser mostradas con estos equipos seran las siguentes:

Se podrn ver o asignar ms de un pipe a cada perfil de usuario o cuenta. Los siguientes grficos estn disponible tanto a nivel individual o a nivel de varios grupos de pipe en una cuenta: Estadsticos de Ancho de Banda Ms Activos VCs Ms Activos Protocols Ms Activos Hosts/Internal Hosts/External Hosts Ms Activos Conversations Cada una de stas grficas pueden ser mostradas con los siguientes tiempos: Last 5 minutes / hour / day / week / month.

Anexo 1. Datasheets de los productos