CATEGORÍA REQUERIMIENTO Revision Firewall Sophos XG

CONTACTO Valdivia Ernesto / Jorge Reyes

EMPRESA Colegio Villa María

ATENDIDO POR Bryan Medina

Objetivo.

Revisión y propuesta de mejoras en el esquema de seguridad perimetral y control de

contenidos en la sede de las planicies del colegio Villa María.

Revisiones

En primera instancia se observó que el cliente posee una red plana en la cual no posee ningún
switch core que administre el trafico local, un Forefront TMG por el cual navegan algunos
usuarios y un firewall Sophos XG Virtual que hace todo el trabajo de enrutador entre las vlan
internas que tienen creadas en cada Switch, este se encuentra instalado sobre Hyper-V con una
asignación de 4 núcleos de procesamiento, 6 GB de memoria ram y 4 interfaces de red con 3 en
uso, actualmente maneja un promedio de 250 usuarios y el crecimiento esperado con la
solución wifi es de un 200% dando un total de 750 usuarios. Al momento de la revisión solo se
encontraban activos 36 usuarios de forma recurrente con 360 conexiones abierta de las cuales
solo algunas presentan filtro de contenido web y ninguna de estas tiene aplicado un control de
aplicaciones o IPS (sistema de prevención de intrusos), bajo estas condiciones el firewall
presenta un alto consumo de su memoria de procesamiento llegando a casi el 50% de uso y no
se encuentran conectados ni el 50% de usuarios para el que fue dimensionado el equipo, en la
configuración del firewall tiene vinculado 4 servidores de Active Directory para el control de
navegación web por usuarios dos de estos están asignados a un dominio en específico y otros
dos a un dominio totalmente diferente. Al revisar el esquema del dominio se observan
inconsistencias en la replicación entre los servidores ya que realizando una prueba en vivo con
el login de un usuario ninguno logra capturar el usuario para otorgar el permiso de navegación
por lo cual al chequear los agentes del firewall instalados en los DC se puede constatar que estos
no cumplen con los requerimientos del cliente ya que no permite realizar un filtrado por grupo
o por usuarios de los cuales se desee monitorear el estado de la conexión sino que simplemente
monitorea la totalidad del árbol del active directory lo cual se aprecia no está funcionando del
todo.
Propuestas de cambios.

Para poder manejar el tráfico de 750 usuarios sin tener problemas con la conmutación de
trafico tanto interno como el que es dirigido hacia el firewall es recomendado que se
implemente un esquema de red donde se instale un switch capa 3 que conmute el tráfico
interno entre vlans ya que el equipo actual que recibe todo el tráfico es un hp que está destinado
a ser un equipo de acceso y no tiene las prestaciones para ser un equipo core por lo cual todo el
trabajo de conmutación interna lo está realizando el firewall que no tiene capacidad para
soportar esta cantidad de tráfico. Se sugiere que se cambie el equipo firewall virtual por uno
físico que cuente con todas las prestaciones de un firewall en cuanto al procesamiento de
tráfico, inspección de paquetes y complementos de seguridad. Como se le demostró al cliente a
través de una solución ya implementada en fortinet este maneja una solución más acorde a
sus necesidades donde se puede administrar los grupos de active directory a través de un
filtrado selectivo de sus 4 controladores de dominio y además tener mejor control en cuanto a
las posibilidades de filtrado ya que además del filtrado web podrá integrar filtro de aplicaciones,
correo, dns, agregar más seguridad y control a su red a través del IPS, y asignar controles de
ancho de banda por grupo de usuarios, aplicativos o incluso sitios web en específico para que
no afecten su enlace de datos. Para el caso antes expuesto se recomienda eliminar el firewall
Forefront tmg, instalar un Switch capa 3 para restructurar la red interna y sustituir el firewall
Sophos actual por un de un equipo fortinet 1000D o en su defecto un 800D que permitirá
manejar throughput de toda la red y tener un margen de crecimiento.

Esquema de estructura actual

Esquema de red Ideal