Pruebas alineadas a NetSecOPEN con TLSStress.Art — primer del operador¶
Otros idiomas: English · Português · Español
Audiencia: operador NGFW corriendo un banco de pruebas TLSStress.Art que necesita producir resultados en el formato publicado por Cisco, Palo Alto, Fortinet, Check Point y otros vendors en sus cert reports NetSecOPEN (Cisco Secure Firewall 1220CX, 3105, etc.).
Docs companeros: NETSECOPEN_ALIGNMENT.md (vocabulario + mapeo RFC 9411), INSPECTION_PROFILE.md (los 5 perfiles nombrados), STRESS_ENGINES_CATALOG.md § Which engine for which Test Kind (los 6 tipos de test).
TL;DR¶
# 1. Elija un plan alineado a NetSecOPEN (3 listos)
# via dashboard /tests/new → Template: "NetSecOPEN cert §7.2 — TCP/HTTP CPS"
# 2. Pulse Run. El bench impone RFC 9411 §4.3.4 + thresholds §7.x.3.3.
# 3. Descargue el report → elija template "cert" → PDF/HTML/Markdown.
# 4. La audit chain (NSO-20) anexa SHA-256 por test + firma Cosign
# para que el cliente verifique que el report no fue alterado.
El bench es NetSecOPEN-aligned, no (todavía) un Approved Tool. Significa: cada report que entrega coincide exactamente con el formato publicado, pero el logo del consorcio NetSecOPEN en la portada del report está deliberadamente omitido hasta que nuestra campaña de membership (Phase D-E) esté completa. Ver §"Por qué todavía no somos un Approved Tool".
Qué es NetSecOPEN¶
NetSecOPEN es un consorcio de la industria que publica:
- RFC 9411 — Benchmarking Methodology for Network Security Device Performance (Mar 2023), la metodología sancionada por el IETF para medir performance de NGFW / IDS / IPS.
- Approved test tools — una lista corta (actualmente Keysight CyPerf + BreakingPoint, Viavi/Spirent CyberFlood) auditada por el consorcio para producir resultados reproducibles.
- Cert reports — vendors corren sus productos por una de las herramientas aprobadas en un lab aprobado (e.g. EANTC) y publican un cert report. Estos reports siguen un layout fijo de 16 tablas.
Cuando un cliente pregunta "¿cuál es su throughput NetSecOPEN?" está preguntando por la Tabla 6 del cert report (HTTPS throughput @ 256 KByte object size, Inspection Profile = balanced o paranoid).
Qué entrega TLSStress.Art¶
Un cert report byte-a-byte idéntico en formato a un cert
NetSecOPEN de Cisco / Palo Alto / Fortinet. DUT de ejemplo: Cisco
Secure Firewall 1220CX. Mix de ejemplo: Healthcare. Report de
ejemplo: ver docs/sample-reports/ (entregado
en NSO-22).
Cada report tiene:
| Elemento | RFC 9411 § | Módulo TLSStress.Art |
|---|---|---|
| Tablas 1-16 (layout cert) | §5 + Apéndice C | NSO-16 KPI aggregator |
| Stability graphs (sustain phase) | §4.3.4 | NSO-17 stability graph renderer |
| Pie charts (Figuras 2-3) | §7.1 | NSO-18 pie chart renderer |
| Render PDF/HTML/Markdown | §5 reporting | NSO-19 report renderer |
| Audit chain SHA-256 por test | §5.1 traceability | NSO-20 audit chain |
| Firma Cosign en chain tip | (best practice) | NSO-20 cosign_bundle |
Paso 1 — Elija un plan alineado¶
Abra el dashboard → Tests / New → dropdown Template. Verá entradas agrupadas en NetSecOPEN cert:
| Template | RFC 9411 § | Espeja tabla del cert |
|---|---|---|
| App Mix Performance — Healthcare | §7.1 | Tabla 2 + Figura 2 |
| App Mix Performance — Education | §7.1 | Tabla 2 + Figura 3 |
| TCP/HTTP CPS por object size | §7.2 | Tabla 7 |
| HTTP Throughput por object size | §7.3 | Tabla 8 |
| TCP/HTTP TTFB+TTLB @ 50% CPS | §7.4 | Tabla 9 |
| TCP/HTTPS CPS por object size | §7.6 | Tabla 11 |
| HTTPS Throughput por object size | §7.7 | Tabla 12 |
| TCP/HTTPS TTFB+TTLB @ 50% CPS | §7.8 | Tabla 13 |
| Concurrent connections | §7.5 + §7.9 | Tabla 3/4 fila 6 |
| Detection Rate — corpus CVE | Apéndice A.2 | Tabla 15 |
| Under Load — Detection Rate | Apéndice A.3 | Tabla 16 |
Elija el que corresponda a la tabla del cert que debe al cliente.
Paso 2 — Elija su DUT class¶
Per RFC 9411 §4.2 + Apéndice B, el bench auto-clasifica el DUT en XS / S / M / L basado en su throughput rated. Esto determina la cuenta de reglas ACL y otros tunables.
| Clase | Throughput | Reglas ACL (block-only baseline) |
|---|---|---|
| XS | ≤ 1 Gbit/s | 65 |
| S | 1 – 5 Gbit/s | 120 |
| M | 5 – 10 Gbit/s | 230 |
| L | > 10 Gbit/s | 560 |
El bench aplica el rule set correcto automáticamente (módulo NSO-5).
Override via dashboard → Tests → Advanced → DUT class.
Paso 3 — Confirme el preflight¶
Antes de que el test inicie, el panel preflight corre 16 checks (módulo NSO-6). El panel está dividido en tres tiers de severidad:
- PASS (verde) — listo
- WARN (amarillo) — proceda, el report notará la brecha
- FAIL (rojo) — el bench se rehúsa a iniciar
Requisitos hard (FAIL en violación):
- DUT en modo Inline (no TAP / SPAN)
- Fail-Open deshabilitado
- TLS Inspection habilitado (para tests HTTPS)
Recommended (FAIL si deshabilitado sin reason; WARN si reason consta):
- IDS/IPS, Antivirus, Anti-Spyware, Anti-Botnet, Anti-Evasion, Logging, App-ID
Si está testeando una postura NGFW baseline, clic en "Apply NetSecOPEN balanced profile" — el bench configura las 8 features RECOMMENDED automáticamente.
Paso 4 — Run¶
Pulse Run. El orchestrator (NSO-7 FSM) recorre la 11-state phase machine:
init → ramp_up → sustain → ramp_down → analyze → done
Per RFC 9411 §4.3.4:
- init ≥ 5s
- sustain ≥ 300s (la ventana del stability graph)
- Sampling interval ≤ 2000 ms
El dashboard muestra barra de progreso live + el stability graph
siendo dibujado en real time. Si failed_tx excede 0.001% o
fwd_rate_dev excede 5%, el test es flagueado FAIL (per thresholds
§7.x.3.3).
Paso 5 — Descargue el report¶
Después de done, clic Download report → elija template:
| Template | Use para |
|---|---|
| cert | Entregable al cliente en formato Cisco/Keysight/Viavi |
| lab | Review interno / collateral marketing / share-out de champion |
Cada template tiene 3 formatos de salida:
.pdf— print-ready, SVGs embarcados.html— single-file con CSS + SVGs inline.md— Markdown para pinning git/audit
La audit chain (NSO-20) se anexa como audit-chain.json al lado
del report. El cliente verifica via:
tlsstress-art audit verify --chain audit-chain.json --report report.pdf
Por qué todavía no somos un Approved Tool¶
El programa Approved Tool de NetSecOPEN lista actualmente exactamente dos vendors (Keysight + Viavi/Spirent). El proceso de aprobación exige:
- Membership del consorcio ($XX,XXX/año de sponsorship)
- Validación por lab independiente (típicamente EANTC) corriendo nuestra herramienta contra un DUT de referencia y confirmando resultados dentro de la tolerancia
- Auditoría de reproducibility — code review + disclosure del corpus de test
Status (per discuss_netsecopen_rfc9411.md roadmap 5-fases):
| Fase | Status |
|---|---|
| A — Technical Readiness (NSO-1..22) | 🟡 En curso (esta Wave) |
| B — Independent Validation | ⚪ No iniciado |
| C — Licensing / Corporate setup | ⚪ No iniciado |
| D — Membership engagement | ⚪ No iniciado |
| E — Approval Campaign | ⚪ No iniciado |
Timeline estimado full: 24-36 meses.
Mientras tanto, shippeamos reports con el label inequívoco "NetSecOPEN-aligned" (no "NetSecOPEN-certified"). Formato idéntico; solo falta el endorsement del consorcio.
Cross-refs¶
- NETSECOPEN_ALIGNMENT.md — vocabulario + matriz de coverage RFC 9411 §6
- INSPECTION_PROFILE.md — 5 perfiles nombrados
- STRESS_ENGINES_CATALOG.md § Which engine for which Test Kind — combinatorial test design
- TLS_INSPECTION_TRAPS.md — nunca diga "SSL Inspection"
discuss_netsecopen_rfc9411.md— decisión estratégica trabada (Option C)- Sample report:
docs/sample-reports/cisco-1220cx-healthcare-2026-05-15.pdf(entregado en NSO-22)