TLSStress.Art¶
Banco de pruebas de performance NGFW — alineado a NetSecOPEN, consciente de sostenibilidad, open-source. Coloque cualquier firewall de hardware en el data path y mida su capacidad real de descifrado TLS, throughput, latencia y techo de sesiones concurrentes bajo carga HTTP/2 + HTTP/3. Produce reports en el formato de 16 tablas idéntico al publicado por Cisco, Palo Alto, Fortinet, Check Point y Keysight/Viavi.
Lea en su idioma: English · Português · Español
⚠️ Licenciamiento y uso — lea antes de clonar¶
Licencia: PolyForm Noncommercial 1.0.0 con Apéndice A — Restricciones Adicionales de Uso.
Audiencia: empleados de Cisco Systems, Inc. e ingenieros pre-venta / post-venta de partners comerciales oficialmente certificados de Cisco. Uso fuera de esa audiencia requiere autorización previa por escrito del autor (
agallon@Cisco.com).Permitido: trabajo de laboratorio, demostraciones internas, engagements PoV / PoC con clientes.
Prohibido (independiente del status "no comercial"): uso en cualquier proceso de adquisición — público O privado — incluyendo licitaciones públicas, "pregões", "editais públicos", licitaciones privadas, "editais privados", RFPs / RFQs / RFIs / RFTs que evalúen productos competidores de Cisco; venta o hospedaje SaaS; cualquier comercialización sin autorización previa por escrito.
Política en lenguaje directo: English · Português · Español.
Por qué TLSStress.Art¶
El mercado comercial de performance NGFW está bloqueado entre dos vendors (Keysight CyPerf + BreakingPoint, Viavi/Spirent CyberFlood), con precio de US$ 2,0–2,5M / 100 Gbit/s de capacidad de prueba (~$21–25 mil por Gbit/s). TLSStress.Art entrega la misma metodología + formato de report a ~$5 mil / Gbit/s — 78% más barato en promedio, 88% más barato en el tier SMB de 1 Gbit/s.
| Diferencial | Detalle |
|---|---|
| Alineado a NetSecOPEN | Secciones de prueba RFC 9411 §7 + layout de 16 tablas del cert report, byte-a-byte compatible con certs publicados de Cisco / Palo Alto / Fortinet / Check Point |
| Consciente de sostenibilidad | Polling SNMP / IPMI / Redfish de energía en vivo, kWh + kg CO2 + árboles-por-año por test, callout "si corriera en AWS, habría pagado $X" |
| Realismo de producción | PURE — Production URL Replay Engine — repite streams reales de URLs de clientes (ingest HAR + Syslog + PCAP + SPAN) a través del DUT con aislamiento PIE-PA (3 capas: pod-scale-to-0 + BGP withdraw + sanity de DNS) |
| 17 patent claims | Familia DOM + OOBI + GATEWAY + RELAY · PURE + Discovery Hub · Cloud Endpoint Service · SPAN.Art · TREX.Art · proxy OBP — moat único y coherente |
| Open-core | Licencia restringida a Cisco + partners certificados; transparencia total de código fuente; builds reproducibles con Sigstore Cosign keyless |
Arquitectura en una vista — 37 MÓDULOs en 3 planos¶
La plataforma TLSStress.Art está organizada como 37 componentes MÓDULO X.Art distribuidos en 3 planos administrativos (per project_module_planes_classification_2026_05_10):
| Plano | Cantidad | Ejemplos |
|---|---|---|
| DATA | 18 | PW.Art (browser engine) · K6.Art · TREX.Art · HAR.Art · SPAN.Art · PERSONAS.Art (20 Sintéticas + 10 Clonadas) · DoYour.Art · KALI.Art |
| CONTROL | 5 | BGP-{1..12}.Art · OSPF.Art · SDWAN/CoR-{1..10}.Art · VXLAN-{1..3}.Art · ISP.Art |
| MGMT | 8 + 1 híbrido | VALIDATOR.Art · GATEWAY.Art · RELAY.Art · CLONER.Art · FLOW.Art · SYSLOG.Art · SNMP.Art · API INFRA.Art · CLI.Art |
Todos los MÓDULOs comparten la fabric OOBI inmutable (VXLAN VNI 254254, UDP/4789, ULA fd5a:7c5e:a72:0::/64) — entrada del operador vía GATEWAY.Art (slot .250), puente MGMT-cliente vía RELAY.Art (slot .240/.241 HA). DUTs y switches nunca participan del overlay.
📐 Arquitectura completa: ARCHITECTURE.md · Índice de ADRs: ADR/README.md
Test Kinds — 7 categorías¶
| # | Tipo | Propósito |
|---|---|---|
| 1 | PW (browser engine) | Navegación real en browser — Chromium carga HTML/CSS/JS/imágenes/fuentes, mide latencia grado-de-producción |
| 2 | synthetic-load engine | Test de carga HTTP en escala — ~128 MB / agente, percentiles p50/p95/p99, sintético grado-de-datasheet |
| 3 | TREX (Cisco TRex) | Tráfico stateful con DPDK kernel-bypass — line-rate TCP/UDP/IPSec, 30 Mpps/core, 40M flows |
| 4 | HAR replay | Replay L7 byte-accurate de sesiones capturadas de browser — 10k sesiones/host vs PW 50/host |
| 5 | Combinatorial | Plan de test con modifiers + inspection_profile + 10 componentes NGFW — 5 presets + modo custom |
| 6 | DoYour (Art Studio) | Tests custom construidos por el operador vía Scapy + Go embed + replay PCAP (3 modos, tier premium) |
| 7 | PURE | Production URL Replay — URLs reales de clientes ingeridas de fuentes Syslog/PCAP/HAR/Curated/SPAN/Cloud, repetidas con aislamiento PIE-PA |
📐 Diseño combinatorial: TEST_PLANS.es.md · Perfiles de inspección (5 nombrados): INSPECTION_PROFILE.es.md
Compliance NetSecOPEN¶
Produce cert reports orientados a clientes byte-a-byte idénticos a los publicados por Cisco / Palo Alto / Fortinet / Check Point con herramientas Keysight o Viavi/Spirent. La Wave NSO de 22 PRs (Phase A — Technical Readiness — completa 2026-05-11) entrega:
| Módulo | RFC 9411 § / Apéndice |
|---|---|
| Schema + mixes Healthcare/Education + 16 tamaños de objeto | §3-§7 |
| Cipher enforcer (4 TLS 1.2 + 4 TLS 1.3, session_tickets off) | §4.3.1.4 |
| Clase DUT XS/S/M/L → 65/120/230/560 reglas ACL | §4.2 + Apéndice B |
| Preflight de 16 checks (8 RECOMMENDED + 4 OPTIONAL) | §4.3.2 |
| Orchestrator FSM 11-estados con enforcement de reglas de fase | §4.3.4 |
| Runners §7.1-§7.9 + Apéndice A.2/A.3 (Detection Rate + Under Load) | §7 + A |
| KPI aggregator de 16 tablas (layout cert) | §5 + Apéndice C |
| Stability graph SVG (visualización de la sustain-window) | §4.3.4 |
| Pie chart SVG (Figuras 2 + 3 — traffic mix) | §7.1 |
| Report renderer (cert + lab × md + html, PDF-ready) | §5 reporting |
| Audit chain SHA-256 + firma Cosign-keyless | §5.1 traceability |
📐 Primer del operador: NETSECOPEN_PRIMER.es.md · Mapeo de vocabulario: NETSECOPEN_ALIGNMENT.md · Report de ejemplo: sample-reports/cisco-1220cx/
Status: alineado a NetSecOPEN (todavía no una "Approved Tool"). Roadmap de 5 fases (Technical Readiness → Validación Independiente vía EANTC → Licenciamiento → Membership → Campaña de Aprobación), timeline de 24-36 meses.
Sostenibilidad MVP¶
La Wave SUS de 14 PRs (2026-05-11) hace que cada test produzca un report de sostenibilidad junto al report de performance:
| Componente | Salida |
|---|---|
| Colectores de energía SNMP/IPMI/Redfish (PDU + server + MIBs de 10 vendors NGFW + Cisco Nexus / Catalyst / Arista / Juniper) | Watts/device en vivo, sampling cada 5s |
| Aggregator de energía (integración trapezoidal Wh) | kWh + kg CO2 con factores regionales de emisión (15 regiones del IEA 2024) |
| Conversor árboles-por-año + crédito de carbono | Referencia USDA (21 kg CO2/árbol-año) + Ecosystem Marketplace VCM blended ($15/ton) |
| Equivalencias en lenguaje directo | km de coche conducido (EPA) + horas de Netflix HD (Netflix ESG 2024) + cargas full de smartphone (EPA) |
| Calculadora de costo AWS IaaS | Compute + egress + CloudWatch logs + EBS storage en list AWS — 7 SKUs NGFW VM-Series soportadas |
| Comparación TCO competidores | Spirent / Keysight / Ixia amortizado 5 años, 78%+ ahorro vs promedio vendor |
📐 Primer del operador: SUSTAINABILITY_PRIMER.es.md · Report de ejemplo: sample-reports/sustainability-cisco-1220cx/ · Calibración real: un test de 5 minutos en Cisco 1220CX en São Paulo, BR emite ~27 g CO2 (~0.001 árboles-año); el mismo workload costaría ~$5.74 en AWS vs ~$0.03 on-prem = 99,4% de ahorro.
Catálogo DUT — 10 familias de vendor NGFW¶
Scope trabado per project_dut_catalog_scope:
| # | Vendor | Familias SKU | Plano MGMT |
|---|---|---|---|
| 1 | Cisco FTD (Firepower) | 1220, 3105, 1010, 3000, 4200, FTDv | FMC + FDM + SCC |
| 2 | Cisco Secure Router | 8200 / 8300 / 8400 / 8500 (no-MX, no-EoS) | vManage REST |
| 3 | Palo Alto | PA-220 → PA-7080, PA-VM, Prisma Access | Panorama + PAN-OS REST |
| 4 | Fortinet | FortiGate FG-40F → FG-7060F + FortiGate-VM | FortiManager + REST |
| 5 | Check Point | Quantum 3600 → 28000 + CloudGuard | Gaia REST + Multi-Domain |
| 6 | HPE Juniper SRX | SRX300 → SRX5800 + vSRX | Junos Space + RESTCONF |
| 7 | Sophos | serie XGS + XG (energía estimada) | Sophos Central |
| 8 | Forcepoint | NGFW 1100 → 6205 (energía estimada) | SMC |
| 9 | WatchGuard | Firebox M270 → M5800 (energía estimada) | Dimension |
| 10 | Huawei | serie USG + AntiDDoS | iMaster (triple-presence: catálogos NGFW + server + switch) |
Reglas de exclusión (trabadas): G1 — sin decrypt TLS → no es DUT. G2 — modelos con EoS anunciado. Meraki MX excluido (sin decrypt TLS). IOS-XE modo autonomous excluido (sin NGFW). ISR + 8000V + uCPE excluidos.
📐 Referencia de vendor: NGFW_CONFIGURATION_REFERENCE.es.md · API DUT: DUT_API_INTEGRATION.es.md
Topologías de deployment¶
Configuración vía platform/topology.yaml en 3 ejes independientes (per ADR 0011):
| Eje | Valores | Controla |
|---|---|---|
deployment_nodes |
single · dual · tri · multi |
Número de UCS + distribución de roles |
l2_fabric |
nexus · none (futuro: arista, catalyst, generic) |
Switch L2 externo (o ausencia) |
dut_type |
cisco-ftd · cisco-secure-router (futuro: 8 más) |
Vendor del DUT — gates de scripts apply/verify |
| Modo | UCS | Layout |
|---|---|---|
| Single-node | 1 | Todo en un host. l2_fabric: none recomendado para dev/lab (NICs del UCS cableadas directo al NGFW, trunk 802.1q multi-NIC por NIC). Soporte first-class. |
| Dual-node | 2 | UCS-1 = agentes (PW + synthetic-load engine); UCS-2 = personas + services + observability |
| Tri-node | 3 | UCS-1 = browser engine; UCS-2 = synthetic-load engine; UCS-3 = personas + services + observability |
| Multi-node | 4 | UCS-1 ngfw-dut · UCS-2 playwright · UCS-3 k6 · UCS-4 infra |
OOBI (eth0) es mandatoria en cada UCS en cada modo — k3s flannel + scrape Prometheus corren sobre ella.
📐 Quick-start por modo: single · dual · tri · multi · Split-stack dev: SPLIT_STACKS.md
Instalación en un comando¶
# Modo dev (Linux/macOS)
curl -fsSL https://raw.githubusercontent.com/nollagluiz/AI_forSE/main/scripts/install.sh | bash
# Producción (Ubuntu + k3s)
sudo ./scripts/k8s-install.sh
Detecta OS, instala Docker si necesario, genera .env host-aware, levanta el stack, aplica migrations, imprime credenciales admin. Para producción multi-UCS, ver guías de deployment arriba.
Container images¶
Multi-arch (amd64 + arm64), firmadas Cosign (keyless OIDC), con SBOM:
docker pull ghcr.io/nollagluiz/web-agent-agent:latest # agentes PW.Art + K6.Art
docker pull ghcr.io/nollagluiz/web-agent-dashboard:latest # cockpit Next.js
docker pull ghcr.io/nollagluiz/web-agent-k6agent:latest # generador K6
docker pull ghcr.io/nollagluiz/web-agent-cloner:latest # CLONER.Art (9 funciones)
📐 Self-upgrade estilo Meraki (canales Recommended / RC / Beta + auto-rollback 60s): RELEASE_CHANNELS.md
Quick links — mapa de documentación¶
Arquitectura y diseño¶
ARCHITECTURE.md·SYSTEM_OVERVIEW.md·TECH_STACK.mdADR/README.md— 25+ architecture decision records
Compliance NetSecOPEN (Wave NSO)¶
NETSECOPEN_PRIMER.es.md· English · pt-BR — how-to del operadorNETSECOPEN_ALIGNMENT.md— matriz de coverage RFC 9411 §6 + vocabularioTEST_PLANS.es.md· English · pt-BR — 15 patrones de carga listosINSPECTION_PROFILE.es.md· English · pt-BR — 5 perfiles nombradosPREFLIGHT_CHECKS.es.md· English · pt-BR — auditoría de 16 checksTLS_DECRYPT_MODE_VERIFICATION.es.md· English · pt-BR — ground-truth checkTLS_INSPECTION_TRAPS.es.md· English · pt-BR — vocab hygiene (nunca "SSL Inspection")
Sostenibilidad (Wave SUS)¶
SUSTAINABILITY_PRIMER.es.md· English · pt-BR — how-to + matemática + fuentes- Sample sustainability report:
sample-reports/sustainability-cisco-1220cx/
Reportes de test¶
REPORTS.es.md· English · pt-BR — HTML + PDF + Cosign-signed- Sample NetSecOPEN cert:
sample-reports/cisco-1220cx/
Operaciones de fleet¶
K6_FLEET.md— fleet synthetic-load engine (1-1.000 agentes)CLONER.es.md· English · pt-BR — arquitectura del Public Website ClonerCLONER_OPERATIONS.es.md· English · pt-BR — jobs + monitoreo
Test-bed DUT¶
DUT_TESTBED.md— setup físico NGFWNGFW_CONFIGURATION_REFERENCE.es.md· English · pt-BR — VLANs + IPs + PKI + ejemplos vendorQUICKSTART_DUT_CHECKLIST.es.md· English · pt-BR — cable → install → PKI → test → resultadosDUT_API_INTEGRATION.es.md· English · pt-BR — integración de API vendor 3 tiersDUT_API_OPERATIONS.md— operaciones runtime
Red y aislamiento¶
L2_ISOLATION.es.md· English · pt-BR — defensa BPDU 3 capasNEXUS9K_TUNING.md— tuning trunk Nexus 9000BRANCH_OFFICE.es.md· English · pt-BR — test WAN asimétricoNAT_TESTING_MODES.es.md· English · pt-BR — escenarios SDWAN + Cloud On-Ramp
Observabilidad y operaciones¶
MONITORING_TEST_VALIDITY.es.md· English · pt-BR — alertas bench-no-DUT bottleneckTRACING.es.md· English · pt-BR — tracing distribuidoSYSLOG_CORRELATION.es.md· English · pt-BR — fuente Discovery HubSYSLOG_OPERATIONS.es.md· English · pt-BR — guía operadorTIME_SYNC.es.md· English · pt-BR — NTP vía Cloner Fn 2TIME_SYNC_FALLBACKS.md— fallbacks air-gap
Compliance y DR¶
AUDIT_LOG.md— query + procedures de handoverBACKUP_DR_OPERATOR_GUIDE.md— RTO < 30 min / RPO < 5 minPRIVACY_POLICY.es.md· English · pt-BR — datos de aceptación de licenciaIP_PROTECTION.es.md· English · pt-BR — protección de propiedad intelectualACCESS_REQUEST.es.md· English · pt-BR — solicitar uso fuera de la audiencia
Instalación y migración¶
AIRGAP_INSTALL.es.md· English · pt-BR — deployment air-gapPRIVATE_REPO_SETUP.es.md· English · pt-BR — deployment privadoRUNBOOK_FIRST_INSTALL.md· pt-BR — primera instalaciónCLONE_FOR_INSTALL.es.md· English · pt-BR — workflow clone-for-installMIGRATION_v1_to_v2.md— migración v1 → v2
Performance¶
PERFORMANCE_TUNING.md— sysctls + BBR + tuning QUICPERFORMANCE_TUNING_HOST.md— nivel de hostPOST_RELEASE_CHECKLIST.md— ingeniería de release
Intros del proyecto en lenguaje directo¶
- What it does · Para que serve · Para qué sirve
BRAND.es.md· English · pt-BR — tokens de marca + voz
Roadmap y futuro¶
GNMI_ROADMAP.es.md· English · pt-BR — roadmap gNMI streaming telemetryAPI_FEATURE_CATALOG.es.md· English · pt-BR — inventario de featuresRELEASE_CHANNELS.md— Recommended / RC / Beta + auto-rollback Cosign
Contribuyendo¶
Vea CONTRIBUTING.md, el Code of Conduct y la Security policy.
© 2026 André Luiz Gallon — Distribuido bajo PolyForm Noncommercial 1.0.0 con Restricciones Adicionales de Uso (Apéndice A).