Análisis a fondo del HPE Instant On Secure Gateway SG1004, un router profesional con gestión Cloud

Los Secure Gateway era lo que le faltaba a HPE Instant On para ser una solución desde el cerebro de la red (el router profesional), hasta los puntos de acceso Wi-Fi pasando por los switches gestionables. Ahora tenemos una solución completa para gestionarla desde la nube de manera muy fácil y rápida. Lo mejor de esta solución, es que todo se integra a la perfección en el Cloud, de tal forma que podremos desplegar complejas configuraciones en cuestión de segundos, ya que todos los cambios se sincronizarán al instante.

Principales características

El HPE Instant On Secure Gateway SG1004 es uno de los dos Secure Gateway que HPE ha lanzado, el otro modelo es el SG2505P que es superior a este modelo. Este equipo está orientado a pequeñas y medianas empresas que tengan una conexión a Internet de hasta 1Gbps, aunque también podrían tener dos conexiones a Internet ya que ambos modelos disponen de Dual-WAN para tener siempre conexión a Internet. Lo que sí debes tener en cuenta, es que es totalmente necesario que uses la ONT o módem de tu operador, ya que estos routers son neutros, con entrada Ethernet RJ-45.

Hardware

El HPE Instant On Secure Gateway SG1004 es un equipo que dispone de todos los puertos Gigabit Ethernet, no obstante, podemos configurar sus puertos de manera bastante avanzada, y todo ello a través de la nube, sin necesidad de meternos en una complicada gestión local vía web. Las principales especificaciones hardware de este SG1004 son:

• Un puerto Gigabit Ethernet para la WAN de Internet dedicado. Podremos configurar VLANs en la WAN de Internet, para así ser compatible con cualquier operador de fibra óptica en España, ya que todos ellos usan VLANs para el acceso a Internet. Por supuesto, soporta varios tipos de conexión como «Conexión automática (DHCP)», IP estática y también el protocolo PPPoE para establecer la conexión.
• Un puerto Gigabit Ethernet para la WAN/LAN. Este puerto se puede configurar como WAN de Internet, con las mismas opciones que la WAN principal, pero es que soporta doble WAN en modo conmutación por error o balanceo de carga. Si lo configuras para la LAN, podemos configurar VLANs en la LAN como untagged o tagged, dependiendo de la configuración de tu red, y todo ello gestionado desde la nube.
• Dos puertos Gigabit Ethernet para la LAN dedicados. Todos los puertos LAN son compatibles con VLANs, podemos segmentar la red local fácilmente, y es que tenemos la opción de poner los puertos sin etiquta (untagged) y también con etiqueta (tagged).

Los Secure Gateway permiten crear túneles VPN con el protocolo IPsec, el procesador soporta aceleración de cifrado por hardware, esto significa que podremos conseguir velocidades reales de hasta 900Mbps, que es el máximo de sus interfaces Gigabit Ethernet. En la sección de laboratorio de pruebas os hablaremos más sobre esta característica tan interesante.

El SG1004 no dispone de ventilador, la refrigeración es completamente pasiva, así que es totalmente silencioso, y podremos ponerlo encima de la mesa sin que se escuche nada. La carcasa es metálica, así que podemos disipar el calor muy bien y sin problemas.

En nuestro vídeo del unboxing y primeras impresiones, podéis ver en detalle cómo es este nuevo equipo y qué puertos tiene:

Ahora vamos a hablar de las principales características del software.

Software

Este Secure Gateway SG1004 forma parte de la familia HPE Instant On, esto significa que podemos darlo de alta con su número de serie, y tendremos una administración y gestión centralizada en la nube. Podemos gestionar toda la red local profesional desde un navegador vía web en la plataforma, o bien utilizar la app oficial de Instant On para smartphones Android e iOS. Algo que nos ha gustado mucho, es que podremos crear diferentes sitios con un Secure Gateway en cada sitio, e interconectarlos entre sí muy fácilmente usando «Dominios», que básicamente es una conexión VPN con IPsec.

Algunas características de software que tendremos disponibles al comprar un Secure Gateway, e integrarlo en la red local de Instant On, son las siguientes:

• IDS/IPS integrado: tendremos a nuestra disposición un sistema de detección y prevención de intrusiones. Continuamente estará monitorizando todas las conexiones, y será capaz de detectar y bloquear las principales amenazas de Internet para que no ocasionen ningún problema de ciberseguridad en la red. En la plataforma en la nube tendremos un menú específico de «Seguridad» donde veremos el estado de este IDS/IPS. La parte negativa es que no tendremos una configuración avanzada para ajustar el funcionamiento en detalle, como sí podemos tener en Snort o Suricata con el objetivo de detectar diferentes amenazas.
• Cortafuegos avanzado: este equipo incorpora un firewall que podremos configurar en el menú de «Políticas». Tenemos una IA integrada en la nube, solamente tendremos que explicar con lenguaje natural qué es lo que queremos hacer, y posteriormente nos sugerirá una política en cuestión, la cual podremos editar para ajustarla perfectamente a nuestras necesidades. Podemos permitir o denegar el acceso entre redes, desde Internet hacia un equipo en cuestión, y muchos otros ajustes avanzados. Esta característica ha mejorado mucho en la versión 3.3.0 del firmware del Secure Gateway y de la plataforma, por lo que es perfecto para crear políticas de manera rápida.
• VPN con IPsec para conexiones Site-to-Site: si tenemos varios «Sitios» podemos interconectarlos entre sí mediante «Dominios». Lo que podemos hacer es crear un túnel VPN con IPsec para intercomunicar sedes, además, tenemos la posibilidad de permitir que desde ciertas redes en origen accedan a ciertas redes en destino, por lo que tenemos margen de configuraciones. Al tener cifrado por hardware, la velocidad que conseguiremos en este túnel es de hasta 900Mbps, un rendimiento excelente.
• Servidor VPN con WireGuard: a partir de la versión 3.3.0 tenemos la posibilidad de configurar un servidor VPN con el protocolo WireGuard en modo acceso remoto. Esto nos permitirá conectar clientes desde Internet para que se conecten a la red local, y todo ello de forma rápida, segura y sencilla.
• Bloqueo por aplicaciones: este control parental de contenido ya lo teníamos anteriormente en los APs, pero ahora lo tenemos en el router profesional para bloquear cualquier contenido o aplicación que nosotros queramos, perfecto para añadir una capa de control de contenidos.
• Gestión de VLANs: podemos crear diferentes subredes con VLANs, y posteriormente asignar estas VLANs por puerto y también usarlas en los switches para los equipos cableados y en los APs para los clientes inalámbricos. Al crear una red cableada y/o inalámbrica, tendremos a nuestra disposición una gran cantidad de opciones, para configurar la red en detalle.

En el siguiente vídeo podéis ver en detalle todas las opciones de la plataforma, no obstante, en la sección de opciones de Instant On os explicaremos todas las opciones relacionadas con este SG1004.

El precio de este equipo ronda los 350€, dependiendo de la tienda donde lo vayas a comprar, este precio puede ser mayor o inferior. Un aspecto muy importante, es que no tenemos que pagar licencias, el uso en la nube es completamente gratuito.

Como podéis ver, estos Secure Gateway era lo que le faltaba a Instant On para completar la gestión de la red local profesional. Ahora os vamos a enseñar en detalle cómo es este nuevo equipo.

Análisis externo

Este nuevo HPE Instant On Secure Gateway SG1004 viene en una caja de pequeñas dimensiones, ya que el propio equipo es bastante compacto, perfecto para colocarlo en cualquier sitio. En el frontal de la caja podemos ver que este modelo es el SG1004, y algunas de sus principales características como el despliegue de conexiones VPN fácilmente, podemos configurar políticas personalizadas para las redes y los dispositivos, así como que dispone de un sistema IDS/IPS automático. Algo que nos llama la atención, es que ya no aparece nada relacionado con Aruba, ahora es siempre HPE en todos los sitios.

En la parte trasera de la caja encontraremos una breve comparativa entre el SG1004 y el SG2505P, a nivel de software son exactamente iguales, la única diferencia entre ambos es que el modelo superior tiene puertos 2.5G Multigigabit y PoE+, el resto de características y opciones son exactamente iguales. Si tienes una conexión a Internet de hasta 1Gbps, y no necesitas la conectividad 2.5G Multigigabit en tu red local ni alimentar APs directamente desde el Secure Gateway, entonces este modelo SG1004 es perfecto para ti (y lógicamente es más barato).

En el lateral derecho de la caja podemos encontrar las principales especificaciones técnicas, como su puerto Gigabit para WAN, un puerto Gigabit WAN/LAN y los dos puertos Gigabit para LAN. Además, este equipo se puede instalar perfectamente encima de una mesa, o bien directamente en la pared, pero este equipo no es enrackable. Otras características que nos mostrará son el firewall, soporte para VPN, que tiene IDS/IPS, tenemos la posibilidad de ver las aplicaciones usadas en la red, así como que tiene un diseño sin ventiladores, así que es totalmente silencioso. En el lateral izquierdo de la caja podemos ver qué incluye, y también una breve explicación de cómo podemos instalar este equipo en tres pasos: encender el dispositivo, descargar la app de Instant On para smartphones, y seguir los pasos del asistente de configuración de dicha aplicación.

Finalmente, en el lateral inferior podemos ver las pegatinas con las diferentes certificaciones que ha pasado el router, así como también el número de serie y la dirección MAC. Es fundamental guardar bien el número de serie porque deberemos darlo de alta directamente en la nube, con el objetivo de poder gestionarlo de forma centralizada en el Cloud.

En el interior de la caja podemos ver un sobre con toda la documentación en su interior, y también el propio equipo en cuestión. El contenido de la caja es el siguiente:

• HPE Instant On SG1004.
• Fuente de alimentación de 12V y 1A para alimentar el equipo.
• Tacos de goma para colocarlo encima de una mesa.
• Tacos y tornillos para instalarlo directamente en la pared.
• Tarjeta con código QR para descargar la aplicación de Instant On.
• Documentos sobre garantía, información regulatoria etc.

Lo más importante de la documentación incorporada es la tarjeta con la guía de instalación rápida, tendremos que escanear el código QR para acceder a todos los recursos online de HPE Instant On, y así poder ver en detalle cómo se instala. De todas formas, la instalación es tan sencilla como conectarlo al enchufe, conectar el cable de la WAN a la ONT o router del operador, y dar de alta el número de serie para que así lo reconozca la nube. El resto de la documentación está relacionada con la garantía limitada del producto, la información regulatoria y otros.

Los accesorios incorporados por HPE constan de tacos y tornillos para su instalación en la pared, también tenemos tacos de goma antideslizantes para ponerlo encima de una mesa. Este equipo no es enrackable, a diferencia del SG2505P que sí se puede instalar en un armario rack. La fuente de alimentación incorporada es de 12V y 1A, por lo que es capaz de proporcionar hasta 12W de potencia para alimentar el equipo. Algo que nos ha llamado la atención es que este equipo tiene un consumo realmente bajo, y eso que es bastante potente a juzgar por el rendimiento obtenido.

Este SG1004 tiene un diseño realmente compacto, y está terminado en color blanco, aunque la carcasa es completamente metálica para disipar el calor a la perfección. En la parte frontal es donde encontraremos los diferentes LEDs de estado de los puertos Ethernet, también tenemos los LEDs de estado de sincronización con la nube, estado de la WAN de Internet y problemas con la red. En esta zona también veremos el botón del modo de los LEDs, así como el botón de RESET para restaurar a valores de fábrica el Secure Gateway.

En el lateral derecho podemos ver el conector Kensington para evitar robos, en la zona izquierda veremos una pequeña rejilla de ventilación para que fluya el aire. Debemos recordar que tiene refrigeración completamente pasiva, así que el ruido que genera es de 0.

En la parte trasera es donde podemos ver todas las conexiones cableadas. Tenemos el conector de alimentación, justo a su izquierda tenemos un pequeño soporte para poner una brida y evitar tirones del cable de alimentación. En la zona central podemos ver el puerto WAN de Internet (4), el puerto Gigabit WAN/LAN (3), y también los puertos Gigabit para la LAN (2 y 1). Finalmente, en la parte dereche encontraremos una pegatina con un código QR, este código QR es el número de serie del equipo para poder darlo de alta en la nube con el smartphone.

En la parte inferior de este router profesional es donde tendremos los soportes para colgarlo en la pared. También tenemos una pegatina con las características eléctricas de entrada y las certificaciones que ha pasado el equipo. Lo más importante es la pegatina con la dirección MAC del equipo, así como su número de serie que debemos darlo de alta en la nube.

Tal y como habéis visto, este nuevo SG1004 es un equipo compacto, pero realmente potente si tenemos en cuenta su hardware, pero, sobre todo, la gran cantidad de opciones disponibles en la nube de HPE Instant On.

Laboratorio de pruebas

En este laboratorio de pruebas comprobaremos el rendimiento real de este Secure Gateway SG1004 en diferentes pruebas que solemos someter a todos los routers profesionales. Haremos pruebas de rendimiento LAN-LAN, Inter-VLAN (porque el router soporta VLANs en la red local), también haremos pruebas LAN-WAN, e incluso pruebas con la VPN IPsec.

Toda la información sobre cómo realizamos las pruebas y el hardware usado, lo tenéis disponible en nuestro banco de pruebas permanentemente actualizado. Si es la primera vez que veis un análisis nuestro, os recomendamos que lo leáis para saber cómo hacemos las pruebas. A continuación, tenéis todas las pruebas realizadas y las conclusiones.

Pruebas LAN-LAN

En estas pruebas LAN utilizaremos iperf3 para ver cómo se comporta con múltiples hilos en la red local. Este router dispone de puertos Gigabit Ethernet para la LAN. En las siguientes capturas podéis ver el rendimiento que hemos conseguido con los diferentes puertos, y usando 100 hilos concurrentes, tanto en sentido descarga como subida.

Como podéis ver, hemos conseguido el máximo de la interfaz Gigabit Ethernet, es decir, 0,94Gbps.

Conclusiones LAN-LAN

El rendimiento LAN-LAN conseguido por este SG1004 ha sido excelente en todas las pruebas. En todas las pruebas de rendimiento hemos conseguido la máxima velocidad de la interfaz Gigabit Ethernet, así que el rendimiento es perfecto.

Pruebas Inter-VLAN

Este SG1004 permite configurar VLANs internamente, y también permite configurar un puerto LAN para que esté como untagged en una VLAN, y usar otro puerto LAN para que esté como untagged en otra VLAN. En estas pruebas Inter-VLAN utilizaremos iperf3 para ver cómo se comporta con múltiples hilos en la red local, tanto en sentido descarga como subida. En las siguientes capturas podéis ver el rendimiento que hemos conseguido con los diferentes puertos:

Como era de esperar, hemos conseguido la máxima velocidad de la interfaz Gigabit Ethernet, por lo que el rendimiento es excelente.

Conclusiones LAN-LAN

El rendimiento Inter-VLAN conseguido por este equipo ha sido excelente en todas las pruebas, consiguiendo también el máximo rendimiento de la interfaz Gigabit Ethernet. Podemos transferir datos a una gran velocidad a través de la red local, independientemente de si están en la misma VLAN o en diferentes.

Pruebas LAN-WAN

En esta prueba de rendimiento vamos a simular cómo se comportaría este router con programas P2P de forma intensiva de cara a Internet, en este caso, el router incorpora NAT por hardware y el firmware incorpora esta característica, por tanto, esperamos una gran velocidad cableada en este aspecto. Hemos usado el puerto Gigabit Ethernet principal como WAN de Internet, y los puertos de la LAN a 1G para la realización de las pruebas.

En las pruebas hemos usado iperf3 con 100 hilos TCP concurrentes, tanto en descarga como en subida. Los resultados son los siguientes:

Tal y como podéis ver, el rendimiento conseguido es excelente también, casi el máximo de la interfaz Gigabit Ethernet que incorpora este equipo. También hemos realizado pruebas con el protocolo PPPoE de forma local, y el resultado es el mismo. Si tu operador usa DHCP o PPPoE, con este equipo podrás conseguir 1Gbps de velocidad sin problemas.

Conclusiones LAN-WAN

La velocidad que hemos conseguido en todas las pruebas es excelente de forma global. Con este router podemos conseguir una velocidad real de 1Gbps sin ningún problema de cara a Internet, así que es perfecto para este tipo de conexiones. Además, el procesador está preparado para usar múltiples conexiones simultáneas y seguir proporcionando un buen ancho de banda.

Pruebas IPsec Site-to-Site

Los Secure Gateway de HPE Instant On permiten crear túneles VPN entre diferentes «Sitios» que tengamos configurados en la plataforma. En el menú de «Dominios» es donde puedes configurar un sitio central, y el resto de sitios secundarios que se conectarán al central. Internamente HPE Instant On utiliza el protocolo IPsec para el establecimiento de estos túneles VPN, si usamos un programa como Wireshark y nos ponemos en medio de la comunicación de dos Secure Gateways, podemos ver cómo establecen la comunicación segura entre las «sedes».

El rendimiento que hemos obtenido es simplemente perfecto, consiguiendo una velocidad real de 0,9Gbps, el máximo de la interfaz Gigabit Ethernet que dispone este SG1004. Al tener un procesador con aceleración de cifrado por hardware, conseguiremos un gran rendimiento, perfecto para que la comunicación entre las sedes

Tal y como habéis visto, el rendimiento de la VPN entre un SG1004 y un SG2505P es impecable, ya que conseguiremos el máximo de la interfaz Gigabit Ethernet que tenemos disponible en este equipo.

Pruebas servidor VPN con WireGuard

En nuestra plataforma de HPE Instant On ya se ha desplegado Instant On 3.3.0, por lo que tenemos a nuestra disposición la nueva funcionalidad de WireGuard. El rendimiento real que hemos conseguido con este SG1004 es el siguiente:

Si quieres saber cómo configurar el servidor VPN con WireGuard, en el siguiente vídeo tenéis todos los detalles:

Como podéis ver, conseguiremos 500Mbps de descarga y subida, un rendimiento sobresaliente, aunque debemos decir que el túnel por IPsec entre sedes es claramente más rápido, ya que tenemos aceleración IPsec. No obstante, esto servirá para la gran mayoría de usuarios que quieran hacer un acceso remoto a los recursos de la red local doméstica.

Opciones de configuración en HPE Instant On

La plataforma HPE Instant On ha cambiado mucho desde el año pasado, ha sufrido una completa remodelación tanto visual como también de las opciones de configuración, sobre todo al incorporar los Secure Gateways. Si nos vamos al menú de «Dispositivos» podemos ver el listado de equipos de HPE Instant On que tenemos dados de alta, con su configuración actual, para entrar en su gestión individual, y también para empezar a realizar diferentes configuraciones.

Si pinchamos sobre el dispositivo Secure Gateway, podemos ver el estado general, pero también entrar en su configuración avanzada, con el objetivo de realizar ajustes específicos a este equipo en cuestión.

Ahora os vamos a enseñar todas las opciones de configuración específicas de este SG1004.

Configuración del SG1004

En el menú principal de configuración es donde podremos cambiar el nombre del dispositivo, activar el LED para localizar el equipo, configurar los LEDs de estado y también reiniciar el dispositivo e incluso quitarlo.

Este modelo incorpora cuatro puertos Gigabit Ethernet, en esta sección de «Puertos» es donde podemos ver el puerto de WAN y LAN, además, también podemos darles un nombre identificativo para tenerlo todo bajo control. Por supuesto, podemos ver el estado de todos los puertos. En el caso de los puertos de la LAN, podemos definir a qué redes podrá acceder, tanto las redes etiquetadas (tagged) como las no etiquetadas (untagged), es decir, podemos configurar desde aquí las VLANs.

La asignación de redes es muy importante para definir cómo está configurada la VLAN en cuestión, podemos configurar todas las VLANs como T (tagged) o como U (untagged), aunque también podemos simplemente que ese puerto no tenga acceso a ninguna red.

Por último, en este menú específico del SG1004 podemos realizar una prueba de conectividad rápida mediante un traceroute. Ponemos la dirección IP de destino, y automáticamente hará un traceroute hacia el destino que hayamos definido.

Ahora que ya habéis visto todas las opciones de configuración específicas del equipo, vamos a ver qué opciones tenemos en otras secciones, las cuales están muy relacionadas con los Secure Gateway.

Redes

En el menú de «Redes» tendremos una visión global de todas las redes cableadas e inalámbricas que tengamos. También podemos ver el estado de configuración de la WAN, la configuración de la redundancia de la WAN, y muchos otros ajustes.

Si entramos a cualquiera de las redes, podemos ver el estado general de esta red en cuestión. Tendremos el nombre de la red, si está activa, la VLAN definida, así como si tenemos el IGMP Snooping y la protección contra ataques DHCP y ARP activado. También podemos ver y configurar la asignación del direccionamiento IP, los DNS, así como reservar direcciones IP privadas con el DHCP estático que tenemos disponible. Otras opciones son las de asignar esta red a diferentes puertos, ya sea del router, de los switches gestionables o de los APs, todo lo tendremos en el menú de «Asignación de red». Por último, también tenemos la posibilidad de configurar el control de acceso, para permitir o denegar el acceso a esta red, y está muy unido a la sección de «Políticas» que hablaremos más adelante, porque primero se comprueba la política y después esta configuración.

En el menú de WAN es donde tenemos la configuración de la conexión a Internet, con su tipo de conexión y método para conectarse. También podemos ver el estado de la conexión, darle un nombre, e incluso configurar el puerto con VLAN o sin VLAN. Si vas a conectar la ONT de un operador, seguramente necesites poner aquí un VLAN ID para acceder a Internet, de lo contrario, no podrá obtener la IP proporcionada por el operador. En cuanto a la segunda WAN, en cualquier momento podemos añadirla y definir un puerto físico, tanto tagged como untagged, porque en este puerto secundario también tenemos compatibilidad con VLANs.

En cuanto a la redundancia de WAN, tenemos dos posibles opciones, dependiendo de tus necesidades:

• Conmutación por error: en este modo, la WAN 1 está como activa, y la WAN 2 está a la espera de que la WAN 1 caiga. Esto es ideal si tenemos una conexión a Internet rápida (1Gbps, por ejemplo), y una conexión más lenta como ADSL. Solamente se activará la secundaria en caso de caída de la primaria.
• Equilibrio de carga: en este modo las dos WAN estarán trabajando, transmitiendo tráfico en ambas. Es ideal si tenemos dos conexiones a Internet con más o menos la misma velocidad.

En la sección de «Portal de invitado» es donde tenemos la configuración global del portal cautivo que tenemos disponible para la red Wi-Fi. Esto normalmente se usará en la red de invitados, para poner el logo de la empresa, los términos y condiciones etc.

Como podéis ver, tener doble WAN es realmente interesante para estar siempre conectados a Internet.

Seguridad

En el menú de «Seguridad» es donde tendremos todo lo relacionado con el sistema de detección y prevención de intrusiones, es decir, con el IDS/IPS del equipo. Tendremos un listado con las amenazas detectadas, también las excepciones de amenazas, así como la posibilidad de gestionarlas y también de configurar el firewall de Internet (aunque esto se hace directamente en políticas). Si nos vamos a la sección de «Aplicaciones» podemos ver las diferentes categorías disponibles, y la posibilidad de permitir o de denegar su acceso.

Tanto este modelo de Secure Gateway como el superior, disponen de exactamente las mismas opciones de configuración, no hay ninguna diferencia entre ambos en este aspecto.

Políticas

En este menú de «Políticas» es donde tenemos lo más importante en cuanto a la seguridad: las políticas del firewall. En este menú es donde podemos permitir o denegar el tráfico que nosotros queramos, algo que nos ha llamado especialmente la atención es la IA incorporada en la nube. Podemos explicar con lenguaje natural qué es lo que queremos hacer, y el sistema nos sugerirá una política a aplicar, no obstante, siempre podemos editar esta política antes de que aplicarla al sistema, para adaptarla a la perfección a nuestras necesidades.

Podéis ver en el siguiente vídeo cómo configurar las políticas mediante IA:

Os recomendamos ver el siguiente vídeo donde encontraréis en detalle todas las opciones de configuración de la plataforma en la nube:

Hasta aquí hemos llegado con el análisis de todas las opciones de HPE Instant On, y también de la review de este HPE Instant On Secure Gateway SG1004, un equipo muy interesante para una red local profesional.

Conclusiones finales

Este gateway de seguridad HPE Instant On Secure Gateway SG1004 es una gran opción para gestionar toda la red de una oficina o pequeñas y medianas empresas, sobre todo si ya tienes switches gestionables y puntos de acceso Wi-Fi de la marca, ya que la integración es simplemente perfecta. Este equipo incorpora un hardware muy potente, tal y como hemos demostrado en las diferentes pruebas de velocidad, pero lo mejor es la gestión desde Instant On porque no puede ser más fácil y rápida.

Lo primero que debemos indicar, es que este modelo SG1004 dispone de puertos Gigabit Ethernet para WAN y LAN, en el caso de que tengas una conexión a Internet más rápida, entonces deberás ir a por el SG2505P que está un escalón por encima de este equipo. De forma predeterminada, este router profesional dispone de un puerto WAN de Internet y un total de tres puertos Gigabit Ethernet para la LAN, no obstante, podemos configurar un puerto para WAN y así tener una WAN secundaria para tener balanceo de carga o failover de la conexión a Internet.

El rendimiento LAN-LAN e Inter-VLAN ha sido excelente en todas las pruebas de rendimiento, hemos conseguido en todo momento el máximo de la interfaz 1G, por lo que es perfecto para transferir datos aprovechando el máximo ancho de banda. En cuanto al rendimiento LAN-WAN también ha sido excelente en todas las pruebas (tanto con DHCP como como con PPPoE), consiguiendo una muy buena velocidad en todas ellas llegando hasta los 0,9Gbps, lo máximo de la interfaz. Respecto al rendimiento de la VPN IPsec, nos ha impresionado gratamente que hayamos conseguido 0,9Gbps de rendimiento, al tener un procesador con aceleración de cifrado por hardware, podremos aprovechar al máximo el ancho de banda de los puertos Ethernet. Por último, la velocidad del servidor VPN con WireGuard, la valoraremos cuando lo podamos probar.

La característica más importante de este Secure Gateway es la integración perfecta en HPE Instant On, todo lo gestionaremos desde la nube, no tenemos que acceder localmente para nada. A diferencia de otras marcas, HPE Instant On nos permitirá monitorizar, gestionar y administrar el Secure Gateway y el resto de dispositivos (switches y APs) de forma completamente gratuita, sin costes adicionales ni tampoco tenemos un modelo freemium (ciertas opciones gratis y ciertas opciones de pago). Ya habéis visto que podemos configurar en detalle las dos WAN de Internet, así como las diferentes VLANs, las políticas del firewall y otras muchas configuraciones avanzadas.

La posibilidad de configurar una VPN de tipo Site-to-Site con IPsec no puede ser más sencilla, y es que en el menú de «Dominios» es donde tendremos un asistente que nos irá guiando para realizar la puesta en marcha. En cuanto al servidor VPN con WireGuard, lo valoraremos cuando lo tengamos disponible en nuestro sitio.

En cuanto al IDS/IPS integrado, nos permitirá añadir una capa más de seguridad tanto a los clientes conectados como al propio dispositivo, tendremos menús de configuración muy fáciles de entender, perfecto para todos los usuarios. El menú de «Políticas» donde tenemos la posibilidad de configurar las reglas del firewall también es realmente completo, la IA incorporada nos facilitará crear las reglas, porque no tendremos que hacerlo desde cero.

Sin embargo, no todo es perfecto en el software de HPE Instant On usando este equipo. En la parte de VPN no tenemos opciones de configuración avanzadas del protocolo IPsec que tenemos disponible en otras soluciones. Solamente podemos activarlo mediante el asistente y unir dos sedes con Secure Gateway, pero no podemos configurarlo en modo acceso remoto ni editar nosotros la configuración. No tenemos tampoco otros protocolos como OpenVPN (en modo servidor y cliente) o WireGuard (en modo cliente). En cuanto al firewall, si bien tenemos muchas opciones de configuración y bastante avanzadas, no se acerca a la cantidad de opciones disponibles en otras soluciones, por lo que es posible que nos quedemos cortos en ciertas empresas donde requieran reglas más avanzadas. Por último, las opciones de configuración del IDS/IPS brillan por su ausencia, nada que ver con tener un Snort o Suricata en la red donde sí tenemos a nuestra disposición una configuración muy avanzada.

Tal y como podéis ver, la gestión y administración en HPE Instant On es muy buena, sencilla, y completamente gratis, sin ningún tipo de suscripción. Tenemos la mayoría de opciones que necesitará una oficina o una pequeña y mediana empresa, sin embargo, es posible que ciertas empresas no les sea suficiente, ya que requieren un firewall con reglas más avanzadas, e incluso un IDS/IPS más configurable para afinar perfectamente lo que se desea detectar. En este último caso, es posible que este SG1004 se te quede corto por el software, y tu personal de IT prefiera irse a soluciones con OPNsense o pfSense.

Puntos fuertes

• Características hardware con 4 puertos 1G Multigigabit, un potente procesador y aceleración de cifrado por hardware.
• Rendimiento LAN-LAN excelente, hemos llegado hasta los 0,95Gbps reales, el máximo de la interfaz Gigabit.
• Rendimiento Inter-VLAN excelente, hemos llegado hasta los 0,95Gbps, el máximo de la interfaz Gigabit.
• Rendimiento LAN-WAN excelente, tanto con DHCP como PPPoE, hemos llegado hasta los 0,90Gbps reales.
• Rendimiento VPN con IPsec excelente, consigue 0,9Gbps simétricos, lo máximo de la interfaz Gigabit.
• Rendimiento VPN con WireGuard sobresaliente, conseguimos 500Mbps simétricos de velocidad.
• Doble WAN de Internet con balanceo de carga y failover de la conexión a Internet.
• Gestión centralizada en la nube de HPE Instant On, con opciones de configuración muy avanzadas.
  • Configuración avanzada de los puertos físicos de WAN y LAN.
  • Configuración de subredes segmentadas en VLANs y posibilidad de intercomunicarlas o no.
  • Permite configurar un firewall basado en reglas de forma bastante avanzada.
  • Podemos filtrar contenido de Internet basado en categorías.
  • El protocolo IPsec IKEv2 para la VPN Site-to-Site.
  • Servidor VPN con el protocolo WireGuard.
  • Integración perfecta con otros dispositivos como switches gestionables y APs de HPE Instant On.
• Diseño metálico y orientado a PyME con características técnicas avanzadas.
• Precio: el precio PVP es de 350€, con gestión en la nube gratis para siempre sin ningún tipo de licencia.

Puntos débiles

• No tenemos opciones de configuración avanzada en la VPN IPsec relacionados con seguridad, certificados digitales, protocolos compatibles etc.
• No tenemos servidores y clientes con protocolos como OpenVPN, ni tampoco el modo cliente con WireGuard (el modo servidor sí).
• No tenemos opciones de configuración avanzadas en el IDS/IPS, como sí tenemos con un Snort o Suricata.
• El firewall no tiene suficientes opciones avanzadas para las reglas, es posible que en ciertas empresas se les quede corto.

Nuestra valoración de este gateway de seguridad profesional HPE Instant On Secure Gateway SG1004, después de ver el rendimiento real del equipo, todas las opciones de configuración de la plataforma Cloud del fabricante, y el precio de 350€, es de 9/10.

Esperamos que os haya gustado el análisis, si tenéis alguna duda podéis ponernos un comentario y os responderemos encantados.