Déploiement de BIG-IP lors du renouvellement du réseau d'information du campus. Nous consolidons les pare-feu frontaliers pour les accès externes en une seule unité. Vous pouvez compter sur une protection renforcée contre les attaques DDoS et DNS
Depuis 30 ans, l'Université de Tsukuba, une université nationale, gère son réseau de campus, dès les débuts d'Internet. Lors de la refonte du réseau informatique du campus en août 2015, nous avons installé le BIG-IP7200v à l'entrée depuis l'extérieur. Nous avons rassemblé le pare-feu périmétrique, qui répartissait auparavant la charge sur plusieurs appareils, en un pare-feu unique pour en simplifier la gestion et accroître la capacité de traitement. Nous prévoyons ainsi de renforcer nos défenses contre les attaques DDoS, en forte hausse ces dernières années, et de mieux contrer les attaques ciblant le DNS.
L’Université de Tsukuba est une université générale qui couvre un large éventail de disciplines académiques. Son réseau informatique fonctionne depuis les débuts d’Internet. Lorsque l’université a adopté le statut de Société nationale universitaire en 2004, elle a mis en place un système de location de ses équipements, avec un renouvellement prévu environ tous les six ans. Le dernier renouvellement remonte à août 2015, suivi du lancement des nouveaux services réseau en septembre de la même année.
« Un des défis majeurs lors de ce remplacement a consisté à centraliser la gestion opérationnelle et renforcer la sécurité », explique le Dr Satoshi Sato, professeur associé à la division Recherche et Développement Réseaux, Centre académique pour les études informatiques et médiatiques, Organisation pour l’environnement de l’information, Université de Tsukuba.
Depuis la mise en place initiale du réseau, l’université a privilégié l’autonomie départementale, chaque faculté et unité organisationnelle nommant ses propres gestionnaires réseau. Aujourd’hui, après environ 30 ans d’activité, l’université traverse une période de transition : les départs à la retraite de gestionnaires réseau rendent crucial le transfert des savoirs. Le Dr Sato attire votre attention sur les risques liés à cette situation :
« Si ceux qui prennent ces responsabilités ne maîtrisent pas bien le réseau, des pannes imprévues risquent de survenir. Sur le plan de la sécurité, cela expose aussi le réseau à des vulnérabilités potentielles. »
De plus, le Dr Sato souligne un autre défi grandissant : la fréquence accrue des attaques DoS et DDoS.
Un autre problème vient de la fragmentation du réseau interne de l'université en plusieurs domaines, avec des serveurs DNS dispersés dans tout l’écosystème. Le Dr Sato alerte sur les menaces de sécurité potentielles que cette configuration engendre.
« Nous constatons récemment une hausse des attaques ciblant les serveurs DNS. Si des serveurs DNS au sein du réseau sont obsolètes et mal maintenus, ils encourent un risque beaucoup plus élevé de devenir la cible de ces attaques », précise-t-il.
Pour relever ces défis, nous avons commencé la mise à jour des équipements en août 2015 par la réorganisation des segments du réseau. Les segments, autrefois fragmentés et gérés séparément par chaque faculté et département, se restructurent désormais en segments fonctionnels, comme les segments serveurs et clients. Cette restructuration crée un environnement réseau où le personnel restreint du Centre académique d’études informatiques et médiatiques peut gérer efficacement le réseau jusqu’aux points d’extrémité. Nous avons consolidé ces fonctions sur un seul appareil BIG-IP.
Pour prévenir les attaques externes, nous avons déployé un BIG-IP performant avec protection DDoS active le long des routes d’accès depuis Internet (SINET5). Nous mettons ainsi en place des mesures proactives pour contrer les attaques venant de l’extérieur.
La migration vers SINET5 est programmée pour avril 2016.