A continuación se narra todos los puntos que
se tuvieron en cuenta en la conexión de la red MEC a internet, y
como no, al final se define una serie de aspectos de seguridad que la toda
red debe cumplir en aspectos de seguridad.
1. Expectativas de la conexión a Internet
La idea de la conexión a Internet abría a las instalaciones
un abanico extraordinario de
servicios, pero a la vista de las limitaciones que íbamos a
tener que imponer en función de los
condicionantes de seguridad y economía, decidimos concretarlos
en unos pocos :
Para entender el desarrollo y topología de la red del MEC, en
primer lugar se ha de comprender
mínimamente la estructura funcional de la organización.
Por una parte se encuentra lo que
denominamos Servicios Centrales, una serie de edificios situados en
varios puntos de Madrid,
relativamente distantes entre sí. Entre estos edificios se encuentra
el más conocido de ellos: la sede
central del MEC en la calle Alcalá, con el gabinete del ministro
y otras subdirecciones. Por otra
parte, como principal centro informático y de comunicaciones
del ministerio, se encuentra el edificio
de la S.G.T.I. (Subdirección General de Tratamiento de la Información)
, sito en la calle Vitruvio.
Además de estos dos edificios principales, existen otras 8 ó
9 dependencias más, que albergan otras unidades funcionales
del MEC, repartidas por toda la capital.
Por otra parte, el MEC dispone de una serie de delegaciones en cada
una de las provincias que
administrativamente gestiona, en el llamado territorio MEC. A cada
una de estas delegaciones se las
denomina Direcciones provinciales. Concretamente, en la actualidad
existe conectividad con la
totalidad de estas 26 provincias. Como caso especial, se sitúa
nuevamente Madrid, que en lugar de
disponer de una Dirección Provincial, dispone de 5 Subdirecciones
territoriales, igualmente
conectadas al grueso de la red del MEC.
La topología de la red con las Direcciones
Provinciales es de una doble estrella, con centros en
Alcalá y Vitruvio, basada en líneas X.25 de 9.600 bps
en su gran mayoría, con los nodos centrales
de 64 Kbps. El protocolo que circula por ellas es IP, encapsulado por
encima de X.25.
La conectividad con los edificios de Madrid está
basada en líneas punto a punto, de varias
velocidades, con backups basados en RDSI, configurados en modo bandwidth
on-demand.
La conectividad con el resto del mundo Internet es
proporcionada por RedIRIS, que como es
sabido, tiene ubicados sus nodos centrales en su sede de la calle Serrano,
a escasos metros de las
instalaciones de esta S.G.T.I. Esta afortunada coincidencia geográfica
es la que nos ha permitido
realizar una conexión a sus instalaciones vía fibra óptica.
Y así, incorporarnos a la denominada red
del Campus de Serrano, que ya estaba integrada por la propia RedIRIS
y el CSIC, algunas de
cuyas instalaciones también están situadas en las proximidades.
Es importante remarcar en este punto, que la conexión del MEC a esta red del Campus de Serrano, se realiza a velocidad ethernet (10 Mbps), dado que la capacidad de la fibra óptica tendida entre ambas organizaciones es claramente superior a esta última, pero que la salida internacional y al resto de universidades se realiza por un enlace serie con velocidad fijada a 500 Kbps, perteneciente al mismo router ubicado en RedIRIS, para evitar agravios comparativos con el resto de organizaciones afiliadas a RedIRIS y que por situación geográfica no les sea posible disponer de este tipo de enlaces.
Aún con esta limitación de la velocidad
de salida en la línea internacional, ésta es plenamente
suficiente hasta el momento y no parece que vaya a convertirse en un
cuello de botella en un futuro
cercano.
3. Direccionamiento
Cuando acometimos el Plan de Comunicaciones que pretendía
modernizar las infraestructuras de
comunicaciones y establecer la mencionada conexión a Internet,
nos encontramos con una red que
había crecido muy rápidamente, y a la vez, de forma bastante
anárquica. Por ella circulaban
básicamente dos protocolos: IP y VINES. El tráfico VINES
se centraba fundamentalmente en los
enlaces punto a punto entre los edificios de Madrid, por los que también
circulaba protocolo IP
encapsulado. Las comunicaciones con las Direcciones Provinciales se
basaban únicamente en
TCP/IP encapsulado encima de conexiones X.25 conmutadas por Iberpac.
Lo peor vino con el direccionamiento utilizado en la anterior estructura: se había utilizado para cada red, ya fuera de unos cuantos sistemas o de algunos cientos, una clase A completa, haciéndolas coincidir con los códigos postales de las provincias, y otros números para las distintas redes de Madrid.
Dado que el espacio de direcciones utilizado, o mejor dicho, malgastado, por nuestra organización coincidía con buena parte de las direcciones en uso en Internet, esta forma de direccionamiento nos obligó a acometer un cambio de direccionamiento generalizado en todo el Territorio MEC, incluyendo todos los edificios de Madrid.
Puestos al habla con RedIRIS, nos pusieron al corriente
de la dificultad de conseguir por parte de los organismos internacionales
correspondientes, una cantidad de direcciones oficiales, que tras
nuestras estimaciones, sería de una clase B aproximadamente.
Una vez llegados a este punto, nos
planteamos utilizar un esquema mixto de direccionamiento privado RFC-1597
y direccionamiento
NIC. Con el inestimable apoyo y asesoramiento de RedIRIS, paralelamente
al comienzo de la
renumeración de nuestras redes con direccionamiento privado,
iniciamos las gestiones para
conseguir por parte de RIPE el máximo número de clases
C. Al final, y después de varios meses de
peticiones rechazadas y revisadas, logramos conseguir un bloque de
85 clases C, que
progresivamente iremos aplicando en nuestras redes internas y externas.
4.- Políticas de seguridad
Administrativamente, y a la hora de plantear el proyecto,
se nos impusieron unos criterios de
seguridad muy estrictos. La conexión a Internet sólo
debía realizarse cuando los riesgos de posibles
problemas de seguridad, tales como accesos no autorizados o robos de
información, fuesen
absolutamente minimizados.
A la vista de que la red actual estaba basada en un host IBM principal razonablemente seguro, y una serie de sistemas Unix de producción y desarrollo con una seguridad bastante más relajada, además de los innumerables PC's de usuarios finales, se llegó a la conclusión de que una conexión directa a Internet, por mucho que se mejorase la seguridad en cada uno de los sistemas pertenecientes a nuestra red, nunca llegaría a cumplir los requisitos mínimos de seguridad que nos fueron encomendados.
Para la elaboración de la política de seguridad, el primer paso fue hacer una relación de los aspectos sensibles dentro de la organización, tanto físicos (equipos Unix, routers, etc.), como no materiales (aplicaciones, bases de datos, etc...).
Una vez realizada esta lista de puntos sensibles
a proteger, se pondera cada uno de ellos con un
peso específico, y se calcula la posibilidad de que sea vulnerado,
ya sea por ataques intencionados o por causas meramente accidentales.
Conocer los puntos a proteger es el primer paso a
la hora de establecer normas de seguridad.
También es importante definir los usuarios contra los que proteger
cada recurso. Las medidas
diferirán notablemente en función de los usuarios de
los que se pretenda proteger el recurso.