| Noticias | 14 MAR 2007

Optimización del trafico SSL en redes WAN

Cada vez hay más proveedores de optimizaciones del tráfico WAN que incluyen la capacidad de manejar tráfico cifrado, por lo que los responsables de TI deben decidir cuál elegir. La circulación de tráfico SSL entre clientes y servidores ubicados en los CPD (centros de procesamiento de datos) remotos supone que algunos sistemas de optimización puedan cerrar la sesión SSL, comprimir el tráfico y volverlo a cifrar, antes de reenviarlo de nuevo. Esto introduce vulnerabilidades potenciales que los distintos fabricantes abordan de maneras diferentes.
Óscar García
El tráfico de SSL representa unos porcentajes cada vez mayores del tráfico total sobre enlaces de red de área extendida (WAN), según una investigación de Forrester. Así pues, el soporte de SSL en dispositivos de optimización de redes WAN será cada vez más importante para las empresas que quieren mantener el tráfico asegurado además de minimizar el tamaño de sus enlaces WAN.

En una encuesta realizada a 1.300 responsables de TI, un tercio de los encuestados respondió que 25 por ciento de su tráfico de red WAN era SSL. Y de ellos, el 45 por ciento planea utilizar más aplicaciones SSL este año.

Hasta ahora, sólo tres compañías, Blue Coat, Certeon y Riverbed Technology, ofrecen aceleración de SSL en sus dispositivos, y también lo tienen previsto implementar Juniper Networks y Silver Peak. Estos dispositivos se colocan en ambos lados de los de enlaces de red y efectúan varias funciones que sirven para acelerar las transacciones. Esto incluye optimizar las sesiones de TCP (Protocolo del Control de Transmisión), hacer cumplir la calidad de servicio o la optimización de protocolos. Sin el soporte de SSL, cuando el tráfico de SSL llega a estas cajas, se limitan a utilizar la optimización de TCP y calidad de servicio.

El soporte de SSL implica terminar las sesiones de SSL, desencriptar el tráfico guardando los segmentos de los datos para futuras consultas y volverlo a encriptar. El tráfico posterior a través de los dispositivos es comparado con estos segmentos. Cuando los datos que están enviando corresponden a un segmento, los dispositivos envían una referencia abreviada en vez del segmento completo que es más largo, reduciendo así la cantidad del tráfico que tiene que cruzar el cable.

Blue Coat no cifra los segmentos guardados, argumentando que la dificultad de usar los datos lo hace prácticamente inaccesible. Por su parte, la oferta de Certeon sí encripta el disco, guardando las claves necesarias para descifrarlo en el dispositivo del extremo opuesto de la red. Así, si uno de los equipos es robado, los datos de su disco están seguros.

En cualquier arquitectura de proxy SSL, el servidor debe dejar sus certificados, por lo menos, a otro dispositivo. En las cajas de Blue Coat, Certeon y Riverbed, ese dispositivo es un optimizador de red WAN que está en el centro de datos, donde se encuentra físicamente tan seguro como el propio servidor. La forma en que se manejan esos certificados varía entre los distintos fabricantes.

Blue Coat crea una clave de sesión para el dispositivo del cliente, usando la clave pública del servidor que está en el lado del servidor. El dispositivo del servidor usa la clave privada del servidor para desencriptar la clave de sesión que es usada sobre la WAN. Riverbed también genera una clave de sesión para la sesión remota de SSL y lo pasa a su ordenador del cliente en dos pasos. Certeon utiliza un proxy entre el servidor y equipo en el lado del servidor, luego transmiten el tráfico al otro lado de la red mediante una conexión IPSec. El equipo de Certeon del lado del cliente crea una sesión diferente para la máquina cliente. El hecho de que las sesiones de SSL pasen por un proxy no debe asustar a nadie, según Joe Skorupa, analista de Gartner.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información