Corporación Universitaria Nacional de la Universidad de Tsukuba
Implantamos BIG-IP con la renovación de la red de información del campus, consolidando firewalls perimetrales en una única unidad para rutas de acceso externas. Esperamos una protección robusta contra ataques DDoS y ataques DNS
La Universidad de Tsukuba, una corporación universitaria nacional, ha operado su red de campus durante 30 años desde los inicios de Internet. Con la renovación de la red de información del campus en agosto de 2015, instalamos BIG-IP7200v en la ruta de acceso desde el exterior. Consolidamos el firewall perimetral, que antes distribuía la carga entre varios dispositivos, en un único firewall para facilitar su gestión y aumentar su capacidad de procesamiento. También esperamos habilitar contramedidas más avanzadas contra los ataques DDoS, que han crecido rápidamente en los últimos años, y poder responder a los ataques dirigidos al DNS.
Desafío empresarial
La Universidad de Tsukuba es una universidad integral que ofrece una amplia variedad de disciplinas académicas sin igual. Su red de información opera desde los primeros días de internet. Al convertirse en Corporación Universitaria Nacional en 2004, optó por un sistema de arrendamiento para su equipo, programando reemplazos aproximadamente cada seis años. El reemplazo más reciente se realizó en agosto de 2015, y en septiembre de ese mismo año lanzamos nuevos servicios de red.
“Uno de los mayores retos durante este reemplazo fue centralizar la gestión operativa y fortalecer la seguridad”, explica el Dr. Satoshi Sato, profesor asociado de la División de Investigación y Desarrollo de Redes del Centro Académico para Estudios de Computación y Medios, Organización para el Entorno de la Información, Universidad de Tsukuba.
Desde el despliegue inicial de la red, la universidad ha basado su estructura de gestión en la autonomía departmental, asignando cada facultad y unidad organizativa a sus propios responsables de red. Sin embargo, tras aproximadamente 30 años de funcionamiento, la universidad atraviesa un periodo de transición, ya que las jubilaciones en puestos de gestión de red generan numerosas situaciones donde es imprescindible transferir el conocimiento. El Dr. Sato señala los riesgos que ello conlleva:
“Si quienes asumen estas responsabilidades no cuentan con un conocimiento suficiente de la red, surgirán fallos inesperados. Desde la perspectiva de la seguridad, esto podría derivar en redes potencialmente vulnerables.”
Además, el Dr. Sato destaca un reto creciente más: el aumento constante de ataques DoS y DDoS.
Otro problema es que la red interna de la universidad está fragmentada en múltiples dominios, con servidores DNS distribuidos por todo el ecosistema. El Dr. Sato advierte sobre las amenazas de seguridad que puede generar esta estructura.
“Últimamente, hemos detectado un aumento de ataques que apuntan a servidores DNS. Si existen servidores DNS en la red que están desactualizados y no reciben el mantenimiento necesario, su riesgo de ser objetivo de estos ataques aumenta considerablemente,” explica.
Soluciones
Para afrontar estos retos, comenzamos en agosto de 2015 la actualización del equipo reorganizando los segmentos de la red. Los segmentos fragmentados anteriormente, gestionados por separado por cada facultad y departamento, los estamos reestructurando en segmentos funcionales, como los de servidores y clientes. Esta reestructuración genera un entorno de red que permite al reducido equipo del Centro Académico de Computación y Estudios de Medios gestionar eficazmente la red hasta sus extremos. Consolidamos estas funciones en un solo dispositivo BIG-IP.
Además, para protegerte contra ataques externos, hemos desplegado un BIG-IP de alto rendimiento con protección DDoS en las rutas de acceso desde Internet (SINET5). De esta forma, tomamos medidas proactivas para mitigar ataques provenientes de fuentes externas.
La migración a SINET5 estaba programada para abril de 2016.
- Hemos mejorado la gestionabilidad al consolidar la configuración previa, que incluía dos firewalls y un balanceador de carga, en un solo dispositivo BIG-IP.
- Con BIG-IP ASM (Módulo Avanzado de Seguridad), puedes proteger aplicaciones a nivel de aplicación contra ataques DDoS.
- Al usar la función de proxy DNS para segregar los resolutores externos, ahora resulta más sencillo garantizar la seguridad del DNS.
- Mejorar la gestión de los firewalls.
- Adoptamos medidas más avanzadas para frenar el rápido aumento de ataques DDoS.
- Combatir los ataques dirigidos a los servidores DNS dispersos dentro de la red del campus.