SITUACIÓN INICIAL

Inicialmente las escuelas contaban con servicios informáticos de apoyo a su misión educativa, así como a sus procesos académicos y administrativos, contando con servidores, PCs, software y acceso a Internet.

El Internet pasó a ser un servicio de mucha importancia y por lo tanto debía ser seguro y confiable. Un mal uso de Internet podría afectar el proceso educativo, tanto de los alumnos como de los profesores.

REQUERIMIENTOS

Tradicionalmente se han empleado tecnologías que incorporan funcionalidades de seguridad informática capaces de reducir la exposición a los riesgos y ejecuten labores de control como:

Evitar el uso no adecuado de Internet, controlando el tipo de páginas que se visitan.

Controlar en las aulas el uso de programas de mensajería instantánea, chats y descarga de archivos.

Permitir que los alumnos y profesores investiguen sin dificultades.

Reducir la entrada de correos basura.

Impedir la entrada de virus que aparecen en las páginas o en los archivos contaminados o en correo peligrosos entre otros.

Reducir los contagios de virus que aparecen por el intercambio de memorias USB, CDs o DVDs.

Proporcionar conectividad inalámbrica y segura para todos: docentes, estudiantes y personal administrativo.

INCONVENIENTES DE UNA SOLUCIÓN DE MÚLTIPLES FABRICANTES

Inicialmente el Ministerio de Educación de Brasil adquirió una solución tradicional en la que se incorporaban múltiples equipos de diferentes fabricantes, los cuales desempeñaban soluciones individuales, unas ubicadas en sitios remotos y otras en un centro de datos de la siguiente manera:

En cada institución:

Un enrutador de marca “A”, con lista de control de acceso operando como filtro de paquetes para evitar el tráfico entrante no deseado.

Antivirus/Antispyware para PCs y servidores marca “B” con un agente especial para la actualización de toda la escuela.

En el centro de datos - que adicionalmente hace las labores de centro de operaciones de seguridad (SOC) -:

Un proxy-caché marca “C” que realizaba labores de filtrado de contenido web e inspección de código malicioso por HTTP.

Un equipo marca “D” para inspección de código malicioso (virus y spyware) por HTTP.

Servidores centrales para la gestión, control y monitoreo de la actividad tanto de los servidores de actualización de las escuelas, como del antivirus para cada PC y servidor.

Este tipo de soluciones habían sido funcionales. No obstante el Ministerio encontró los siguientes inconvenientes:

Los usuarios finales no estaban protegidos contra las vulnerabilidades cada día más presentes, ni contaban con mecanismos de prevención de ataques (IPS).

Todo el tráfico hacia Internet pasaba por el centro de datos principal y hacía múltiples saltos en lugar de salir de manera directa, con lo cual el canal no se usaba eficientemente.

Adicionalmente el control de servicios de mucho consumo de ancho de banda como Peer to Peer (P2P), aplicaciones multimedia y mensajería

instantánea era regulado en el centro de datos, deteriorando el ancho de banda de la conexión entre la escuela y el mismo centro de datos.

No se podían establecer controles granulares para regular el acceso de manera diferenciada a profesores, estudiantes y personal

administrativo.

La administración del sistema antivirus de PCs y servidores requería mucho tiempo y esfuerzo debido a la presencia de la actualización de diversos equipos.

La gestión integral de toda la solución a través de varias consolas de múltiples marcas siempre ha sido una tarea difícil.

PRIORIDAD DE SONICWALL: INTERNET SEGURO EN LAS ESCUELAS

Al comprender la problemática que el Ministerio de Educación de Brasil tenía con los sistemas inicialmente contratados, SonicWALL y su socio de negocios M-Tel proporcionaron una nueva solución que entró en funciones justo antes del primer año de operación del proyecto, sustituyendo por completo las plataformas anteriores.

Esta solución debía cumplir con las siguientes necesidades del Ministerio:

Una muy alta relación costo-beneficio que justificara un cambio de tecnología a menos de un año de haber sido adquirida.

Óptimo uso del canal de Internet de cada escuela.

Facilidad de operación y mantenimiento.

Protección efectiva para los usuarios finales.

Teniendo en cuenta estos aspectos, se implantó la solución con los siguientes componentes:

1.- Un UTM de SonicWALL TZ 180/190 para cada una de las 6,300 escuelas, que están dispersas a lo largo y ancho de la geografía de Sao Paulo, que propociona funcionalidades de enrutador y firewall sustituyendo el vulnerable sistema de filtrado de paquetes. Al UTM se le incorporaron los siguientes módulos de software:

Un sistema de control de contenido Web, que regula el acceso a páginas cuyo contenido no es apropiado para la comunidad académica.

Un dispositivo para el control de contenido y para la prevención contra intrusos que además de evitar ataques a los equipos, protege contra el uso inadecuado de P2P, mensajería instantánea, juegos en línea y multimedia, entre otros.

Un sistema antivirus/antispyware de borde que examina todo el tráfico de navegación y correos electrónicos para reducir la exposición a códigos malignos online.

Agentes antivirus para las PCs y servidores sin necesidad de servidores adicionales, de manera que en el UTM se establece la actualización de firmas de detección.

Varias unidades de conexión inalámbrica para permitir la conexión de equipos portátiles y PCs.

2.- Un servicio administrado de seguridad MSSP, con el cual M-Tel se encarga de la supervisión, administración y monitoreo de los UTMs desde un SOC (Security Operation Center), desde donde el personal especializado opera la solución.

El SOC se conecta a Internet y puede monitorear cualquier tipo de conexión, desde banda ancha hasta satelital y cuenta con los siguientes elementos:

Una consola basada en el software GMS (Global Management System) para el acceso de los administradores.

Seis agentes de recolección de logs y generación de estadísticas y reportes (aproximadamente 1 por cada 1,000 escuelas).

Un servidor con base de datos MS-SQL para el almacenamiento de logs y reportes.

Dos equipos UTM PRO 5100 de SonicWALL que hacen la conexión segura VPN, para la gestión de los 6,300 sitios remotos.

VENTAJAS DE LA SOLUCIÓN Y LECCIONES APRENDIDAS

Se demostró la escalabilidad del proyecto, el cual puede ser replicado en más centros educativos de los demás estados de Brasil, así como en otros países. A pesar de entrar en funciones antes de que finalizara el primer año de la operación de las soluciones anteriores y con una base instalada previa, se lograron ahorros significativos en licenciamiento de las plataformas de seguridad informática.

Se delegó en una compañía especializada la operación y el mantenimiento de la plataforma de seguridad, haciendo que la administración sea más sencilla y simplificada.

Se unificó la administración de los riesgos de seguridad en una sola plataforma, optimizando los costos de adquisición, instalación y

operación.

Se lograron tener reportes y resultados unificados sobre toda la plataforma de seguridad del proyecto.

Se eliminó la necesidad de “proxies” centrales, reduciendo el tráfico y la dependencia del sitio central.

En los sitios donde fue posible, se redujo la cantidad de routers, logrando mayores beneficios económicos.

Facilitó la conectividad inalámbrica segura en cada escuela.

La comunicación con Internet fue directa sin necesidad de pasar por el SOC.

Se lograron aplicar políticas granulares para estudiantes, profesores y personal administrativo.

Se controló de manera efectiva el tráfico de alto consumo de ancho de banda como P2P, multimedia, mensajería instantánea y juegos online, entre otros.

Compártelo: