La Universidad de Oviedo, con 23.000 alumnos, desarrolla una importante actividad investigadora, siendo partícipe de proyectos a nivel regional, nacional e internacional. En este punto, la necesidad de los distintos grupos de investigación que existen en la Universidad de compartir información, investigaciones o cualquier tipo de conocimiento con otros colectivos en el mundo conlleva que el uso de Internet sea imprescindible. Asimismo, la gestión universitaria en cualquiera de sus vertientes también es cada día más dependiente de la integración con servicios de terceros (organismos autonómicos, estatales, etc…) a lo que hay que sumar la obligatoriedad de la Universidad, como organismo público, de proporcionar a los ciudadanos canales electrónicos seguros para realizar sus trámites.
Política de seguridad
Por la gran cantidad de usuarios concurrentes, unas 32.700 conexiones simultáneas de media, la Universidad de Oviedo partía de la siguiente problemática asociada a dicha infraestructura: falta de visibilidad, control y seguridad del tráfico que corría por la misma. Dicha situación impedía tener una visión específica sobre los contenidos y actividad de los usuarios, debido a la incapacidad de los sistemas implantados en ese momento, dos Firewall de otro fabricante, para generar políticas de seguridad basadas en aplicaciones o usuarios. Ante tales circunstancias, el objetivo del proyecto consistía en crear una política de seguridad basada en aplicación y no en direcciones y puertos, para poder atajar y eliminar la problemática.
En este sentido, y después de analizar todas sus necesidades, la Universidad de Oviedo optó por dos firewall modelo PA-5050, y no solo porque Palo Alto ofreciera un producto capaz de trabajar en la capa 7 sin penalizar el rendimiento del sistema, sino también, por su facilidad de uso, integración con otros sistemas, y flexibilidad a la hora de implementar políticas de seguridad. Para esta labor contó con la colaboración de Acuntia, partner integrador del proyecto. “El objetivo inicial del proyecto fue la modernización de la seguridad perimetral de la red universitaria, mejorando la capacidad de análisis de tráfico y adecuando el equipamiento al nuevo caudal de conexión hacia RedIRIS-NOVA (red avanzada de investigación de I+D), explica Javier Pérez Arenal, Jefe de Área Técnica de Informática y Comunicaciones de la Universidad de Oviedo. “Asimismo”, continúa, “requeríamos de una solución que nos permitiese consolidar muchos de los servicios tanto de ‘firewalling’ como ‘helpers’ de la red perimetral en una única máquina, y que, además, asegurase la visibilidad de los equipos en la red. Todo esto lo hemos conseguido gracias a la tecnología de próxima generación de firewall de Palo Alto Networks, ya que la nueva infraestructura nos permite la conexión a 10 Gbps y un mayor control de lo que ocurre entre nuestra red e Internet”.
Ya en primera instancia, y tras pocos días con la solución implantada, la Universidad de Oviedo lograba dar un gran salto cualitativo en cuanto a la información recogida. De este modo, ha pasado de contar con cuadros estadísticos de número de bytes -que se reciben en un puerto determinado- a una lista de amenazas, aplicaciones y usos en general de la infraestructura de comunicaciones, lo que les permite definir y aplicar medidas tanto reactivas como proactivas en este campo.
Fases del proyecto
Con los objetivos tecnológicos a conseguir definidos, la Universidad de Oviedo inició este proyecto de migración e implantación, para lo que contó con el apoyo y asesoramiento de Acuntia quién, además, promovió la posibilidad de que la Universidad dispusiera de unidades de demostración para realizar una prueba previa a la adquisición de los equipos. Dicha demostración mostraría a la Universidad el nivel de control que podía adquirir con este tipo de equipamientos. Como punto de partida, se inició la recogida de requerimientos, tanto funcionales como técnicos, revaluando la visión del intercambio de información entre la comunidad universitaria y el resto del mundo. En este estado, era necesaria una visión más específica, más dirigida a contenidos y usos que la que se tenía por entonces, de más bajo nivel.
Establecidos los criterios de partida, se llevó a cabo una prospección de mercado en este ámbito para conocer qué posibilidades había y a qué coste, tanto de inversión como de propiedad, identificando los requerimientos que podían ser cubiertos por las soluciones existentes. Esa información fue evaluada por los gestores correspondientes y se completó la adquisición de la solución propuesta por Palo Alto. A partir de ese momento, se procedió a la transferencia de las reglas de negocio de nivel 4 de la salvaguarda existente al nuevo equipamiento, y a su puesta en producción en la primera quincena de Marzo de 2012. Posteriormente, se redefinieron las reglas y se adecuaron al nuevo entorno de control de aplicaciones, para satisfacer los objetivos de la Universidad.
