Corporação Universitária Nacional da Universidade de Tsukuba
Implantação do BIG-IP com renovação da rede de informações do campus Consolidação dos firewalls de borda para rotas de acesso externo em uma única solução Expectativas de proteção contra ataques DDoS e DNS
A Universidade de Tsukuba, uma corporação universitária nacional, opera sua rede de campus há 30 anos desde os primórdios da Internet. Na renovação da rede de informações do campus em agosto de 2015, instalamos o BIG-IP7200v na rota de acesso externa. Consolidamos o firewall de perímetro, que antes distribuía a carga entre vários dispositivos, em um único firewall para melhorar a gestão e a capacidade de processamento. Também contamos que isso permita aplicar contramedidas mais avançadas contra ataques DDoS, que crescem rapidamente nos últimos anos, e responder a ataques direcionados ao DNS.
Desafio Empresarial
A Universidade de Tsukuba é uma instituição de ensino superior completa, reconhecida pela variedade excepcional de disciplinas acadêmicas que oferece. Sua rede de informação opera desde os primórdios da internet. Em 2004, ao se tornar uma Corporação Universitária Nacional, adotamos um sistema de leasing para os equipamentos, planejando suas substituições a cada seis anos, aproximadamente. Realizamos a última troca em agosto de 2015, e lançamos novos serviços de rede em setembro daquele ano.
“Centralizar o gerenciamento operacional e aumentar a segurança foi um dos maiores desafios durante essa substituição”, explica o Dr. Satoshi Sato, professor associado da Divisão de Pesquisa e Desenvolvimento de Redes, Centro Acadêmico de Computação e Estudos de Mídia, Organização para o Ambiente de Informação, Universidade de Tsukuba.
Desde a implantação inicial da rede, a gestão da universidade sempre se baseou na autonomia departamental, com cada faculdade e unidade nomeando seus próprios gerentes de rede. Agora, após quase 30 anos de funcionamento, a universidade passa por um período de transição, em que aposentadorias em cargos de gestão de rede exigem uma transferência de conhecimento urgente. O Dr. Sato destaca os riscos envolvidos:
“Quando os novos responsáveis não têm conhecimento suficiente da rede, falhas inesperadas tendem a acontecer. Do ponto de vista da segurança, isso pode deixar as redes vulneráveis.”
Além disso, o Dr. Sato destaca outro desafio em alta: o aumento da frequência dos ataques DoS e DDoS.
Outro problema é a fragmentação da rede interna da universidade em diversos domínios, com servidores DNS distribuídos pelo ecossistema. O Dr. Sato alerta sobre as ameaças de segurança que podem surgir dessa configuração.
“Recentemente, observamos um aumento nos ataques direcionados a servidores DNS. Quando há servidores DNS na rede desatualizados e mal mantidos, o risco de eles se tornarem alvos desses ataques cresce muito,” ele explica.
Soluções
Para enfrentar esses desafios, iniciamos a atualização do equipamento em agosto de 2015 reorganizando os segmentos da rede. Antes fragmentados e gerenciados separadamente por cada faculdade e departamento, estamos reformulando esses segmentos em grupos funcionais, como servidores e clientes. Com essa reestruturação, mesmo a equipe reduzida do Centro Acadêmico de Computação e Estudos de Mídia pode gerenciar a rede completamente, até os pontos finais. Agora consolidamos todas essas funções em um único dispositivo BIG-IP.
Além disso, implantamos um BIG-IP de alto desempenho com proteção contra DDoS nas rotas de acesso da internet (SINET5) para defender contra ataques externos. Garantimos que medidas proativas estejam aplicadas para conter ataques vindos de fontes externas.
Programamos a migração para o SINET5 para acontecer em abril de 2016.
- Consolidamos a configuração anterior, que incluía dois firewalls e um balanceador de carga, em um único dispositivo BIG-IP, melhorando a gestão.
- Com o BIG-IP ASM (Advanced Security Module), você conta com proteção a nível de aplicação contra ataques DDoS.
- Ao usar a funcionalidade de proxy DNS para separar resolvedores externos, você garante a segurança do DNS com mais facilidade.
- Tornando o gerenciamento de firewalls mais eficiente.
- Implementamos medidas mais avançadas para combater o rápido crescimento dos ataques DDoS.
- Enfrentando ataques que miram os servidores DNS espalhados pela rede do campus.