Fundado en 1942 por Esteban Terradas, el Instituto Nacional de Técnica Aeroespacial (INTA) es un organismo público de investigación dependiente del Ministerio de Defensa y especializado en la investigación y el desarrollo tecnológico aeroespacial. Con una plantilla de 1.600 empleados, el INTA tiene su sede central en el municipio madrileño de Torrejón de Ardoz, donde concentra la mayor parte de sus actividades de I+D+i; pero también desarrolla su labor en el Complejo de Comunicaciones Espaciales de Robledo de Chavela, donde se localiza la estación INTA-NASA, y la estación espacial INTA-ESA de Villafranca del Castillo. El INTA cuenta, además, con el Centro de Experimentación de El Arenosillo en Huelva, con un Centro de Ensayos en Granada, y con el Centro Espacial de Canarias. , con una capacidad de 2 Gbps, la salida a Internet de los usuarios del INTA en todas estas localizaciones está centralizada en Torrejón, se trata un entorno muy disperso y heterogéneo en el que la seguridad informática se releva clave. “Desde el área de informática y en concreto desde el área de seguridad”, indica el responsable de Seguridad Informática y de Informática de Gestión y SAP, Jesús Garrido Antonio, “es ingente la labor que tenemos que realizar para poder dar servicio y proporcionar seguridad en un entorno tan amplio y heterogéneo donde conviven proyectos militares y civiles, con multitud de información, hardware y software”.
En concreto y para proteger la salida a Internet, el INTA se había dotado de dos cluster de firewalls de fabricantes diferentes interconectados a través de un proxy, configuración que evitaba la conexión directa a Internet de la red del INTA y a la que a lo largo del tiempo se habían ido incorporando diferentes appliances -IPS/IDS, filtrado de URLs, antivirus, antispam, VPN, etc.- a fin de elevar los niveles de seguridad.
Sin embargo y como reconoce Garrido, “el agujero del puerto 80 seguía existiendo y, de hecho, hemos sufrido ataques y hacking del servidor web, infecciones de máquinas, etc.”
Además y dada la heterogeneidad de este entorno y el gran número de elementos susceptibles de constituir un punto de fallo, el nivel de complejidad alcanzado a la hora de monitorizar y gestionar cambios, así como el coste, había alcanzado una cota inaceptable. “El TCO se disparaba al tener que pagar muchos mantenimientos a compañías distintas y la solución no era ni completa ni rápida ya que cada vez que había una incidencia la necesaria revisión exigía mucho tiempo”.
Consolidación de dispositivos
En esa tesitura y con el impulso adicional de los nuevos requerimientos establecidos por el Real Decreto que define el Esquema Nacional de Interoperabilidad, el INTA inició a principios de 2010 la búsqueda de una solución que le permitiera poner fin a la problemática existente y cumplir con un objetivo claro: “controlar desde un solo punto la configuración y los logs de los sistemas y poder aplicar políticas de seguridad por aplicaciones y no solo por puertos, elevando al tiempo la rapidez en el conjunto de la solución”.
Tras analizar las soluciones de Juniper, Fortinet, CheckPoint y Palo Alto Networks, el INTA se decantó por esta última -en concreto, por su dispositivo PA-4020- ya que “desde la concepción de su diseño, la arquitectura de Palo Alto a nivel de hardware y de sistema operativo está pensada para el filtrado de aplicaciones; se trata de un sistema muy ágil que cuenta, además, con importantes referencias de instalación”; de modo que en septiembre se dio luz verde a una implantación que ha contado con la prudencia como gran consejera. Y es que, como apunta Garrido, “en seguridad siempre tienes que tener un ojo mirando al futuro y otro al pasado”.
Bajo esa premisa, el INTA implantó el PA-4020 como una tercera línea de firewall y, una vez realizada la necesaria conexión del nuevo dispositivo con el Directorio Activo para poder aplicar políticas de seguridad por grupos de usuarios o usuarios en particular, se introdujeron las políticas requeridas para también hacer uso de sus funcionalidades de proxy, filtrado de URL, IPS y antivirus, sustituyendo los appliances hasta el momento encargados de esas funciones.
Cabe destacar que, desde el instante de su conexión, el sistema empezó a detectar elementos malware. “Un día después de la instalación”, comenta Garrido, “la solución de Palo Alto había detectado 23 máquinas infectadas con spyware, otras tres máquinas afectadas por el gusano Conflicker e incluso un usuario con un programa anómalo que hacía miles de conexiones a Internet”.
Acceso basado en aplicaciones
Tras esta configuración, que se demoró un par de semanas, y finalizado el período de pruebas, se inició una segunda fase de gestión del cambio a tenor del cambio organizativo que implicaba basar las políticas de acceso a Internet en las aplicaciones y no sólo en los puertos; de modo que ahora son los usuarios los que deben solicitar el acceso justificado a las aplicaciones de Internet. Garrido destaca la relevancia de este aspecto dentro e la implantación y llama la atención sobre la ayuda que les prestó Palo Alto a la hora de generar la firma de tráfico para determinadas aplicaciones.
En la actualidad, el INTA todavía cuenta con tres líneas de firewalls, pero ante los buenos resultados conseguidos en estos meses de funcionamiento del nuevo sistema, se contempla la clusterización a corto plazo del PA-4020, pasando a sustituir la línea de firewalls más antigua.   Más allá del salto que supone para el INTA poder aplicar políticas de seguridad por aplicaciones, la instalación también supone ventajas desde la perspectiva de los costes puesto que, de acuerdo con Garrido, “ahorramos al menos un 50% del coste de la inversión”, sin olvidar que, gracias a los informes que genera automáticamente el sistema, “nos ha simplificado mucho la vida, al tiempo que ha aumentado considerablemente la seguridad”.
