Introducción
En la actualidad algunas de las tareas que de ben realizar los administradores de redes son: gestionar la infraestructura de redes y comunicaciones, mantener la disponibilidad de los servicios existentes, proponer la inserción de nuevos dispositivos y servicios; previendo la evolución de su red según las necesidades de la organización y el alcance económico de la misma.
Cuba, un país bloqueado por Estados Unidos, se encuentra limitada en todo lo relacionado a lo económico y por tanto en la adquisición de tecnología adecuada para una infraestructura de última generación en todas sus empresas o instituciones. El Ministerio de Salud Pública no está exento de ello, la gran mayoría de las entidades carecen de este tipo de equipamiento prevaleciendo hardware obsoleto pero aún activo y del que se puede aprovechar su condición técnica con el software adecuado.
Las instituciones de salud de cada provincia se encuentran conectadas a través de ETECSA, empresa de telecomunicaciones que sirve de proveedor de Conectividad. Ésta, sitúa sus routers, los cuales están configurados con un direccionamiento IP y las tablas de rutas necesarias para su correcto funcionamiento en la red de salud INFOMED. No obstante, estos equipos no permiten ser gestionados ni administrados por ningún ente externo al proveedor del servicio; por lo que los administradores de red en salud se ven imposibilitados, entre otras cosas, de aplicar reglas de cortafuegos o listas de control de acceso para así cumplir con las políticas trazadas de seguridad informática.
Existen diferentes sistemas operativos software libre que pueden ser implementados sobre computadoras de sobremesa que sustituyen a los enrutadores capa 2 ó 3 con gran reconocimiento a nivel mundial; esto se debe a sus grandes costos. En determinadas infraestructuras de redes podemos encontrar uno o varios routers propietarios, pero en la mayoría de los casos prevalecen los routers Cisco 1, suministrados por Cisco System, uno de los principales proveedores de equipos de redes a empresas tecnológicas y otras organizaciones en el mercado mundial. En la Figura 1 se muestra una tabla con las características de algunos enrutadores comerciales.
Se consideró oportuno la realización del presente trabajo con el objetivo de implementar un enrutador / cortafuegos basándose en una distribución GNU/Linux sobre un hardware de mediano rendimiento, atendiendo a las medidas y esquemas de seguridad establecidos en Cuba y cumpliendo con las normas internacionales de redes más actuales.
El objetivo general de este trabajo es describir y demostrar las posibilidades que brinda la distribución GNU/Linux en la implementación de routers de bajo costo en las infraestructuras de redes en instituciones de Salud. Para lograrlo fue preciso Identificar conceptos y definiciones utilizadas para este trabajo y desarrollar una metodología para la configuración e implementación del router con la distribución de GNU/Linux utilizada.
Esta investigación aporta la base necesaria para, primeramente, crear un diseño de infraestructura de red que logre un mejor aprovechamiento de los recursos disponibles; en segundo lugar, utilizar una herramienta que permita tener un mejor control de la seguridad de las redes, teniendo en cuenta la potencialidad que brinda GNU/Linux en este campo; y en tercer lugar, exponer una metodología para la implementación de un router estableciendo una serie de pasos para su correcta configuración en dependencia del entorno en el que se vaya a implementar.
Métodos
Conceptos, especificaciones y metodología de uso
Se realizó un análisis documental a partir de información recuperada en materiales digitales en Internet, así como experiencias realizadas en el Hospital Clínico Quirúrgico Universitario “Dr. Ambrosio Grillo Portuondo” y el intercambio conceptual con diferentes administradores de red en la provincia de Santiago de Cuba, relacionado con: enrutadores en GNU/Linux, router comercializables, herramientas de monitoreo de servicios de red, seguridad en redes, segmentación de red, entre otros. A partir de ello, se elaboró una propuesta de PC-router sobre una distribución GNU/Linux en la institución de salud Hospital Clínico Quirúrgico Universitario “Dr. Ambrosio Grillo Portuondo” que data de entre los años 2016 y 2018.
Los routers son unos de los elementos fundamentales de las redes actuales, los cuales permiten la interconexión entre ellas. En el caso de Cuba, la adquisición de determinados equipamientos tecnológicos de última generación se realiza a través de terceros países debido al bloqueo económico al que está sometido el país por parte del gobierno de los EE.UU. No obstante, existen soluciones libres que nos permiten tener un router en un hardware x86 utilizando herramientas basadas en GNU/Linux. Para el desarrollo de esta propuesta se escogió el VyOS 2.
Qué es VyOS?
A diferencia de OpenWRT o pfSense, VyOS es más similar a los routers tradicionales de hardware, focalizado en un buen soporte para características avanzadas de enrutamiento como protocolos de enrutamiento dinámico e interfaz de línea de comandos.
Ha sido un proyecto comunitario desde el principio. Cuando Vyatta Core fue interrumpido, un grupo de usuarios que querían seguir utilizándolo decidió usar la última versión disponible del código fuente para empezar con el proyecto VyOS, el cual se identifica con el logo que se muestra a continuación.
VyOs, un sistema operativo enfocado a las funciones de red, proporciona capacidades de enrutamiento, cortafuegos y VPN. 2 Para hacer un símil es como disponer de un router Hewlett Packard o Cisco. Con una línea de comandos muy parecida a los dispositivos de red electrónicos y un consumo de recursos más ligero que los sistemas operativos completos.
Sus características incluyen la capacidad de ejecutarse tanto en plataformas físicas como virtuales. La interfaz de línea de comandos (CLI) es bastante clara, en ésta se puede importar, exportar y contiene todo para realizar routing tanto para protocolos IGP como EGP. Es una distribución con muchas prestaciones, y al estar basada en Debian/Linux, es relativamente sencillo manejar los paquetes, actualizar, agregar, eliminar, etc.
En la figura se puede observar la interfaz de línea
Por qué utilizar VyOS?
Proporciona los siguientes servicios al más alto rendimiento:
Enrutamiento avanzado: IPv4, IPv6, BGP, OSPF, RIP, VRRP, 802.1Q, etc.
Segmentación de redes mediante VLAN.
Seguridad: Cortafuegos, IPSec VPN, IDS, SSL VPN, Filtrado URL, etc.
Optimizador de rendimiento: QoS, Balanceador WAN, agrupación de enlaces, etc.
Clusterización de alta disponibilidad e Integración con herramientas de monitoreo de redes.
Cómo utilizar VyOS?
En esta sección se describirán los recursos necesarios y la metodología que se empleó para poner a punto el PC-router en un período corto de tiempo.
Requerimientos técnicos
Los requerimientos mínimos para el PC-router son los siguientes:
Microprocesador: Intel PIII 500 MHz CPU (mínimo recomendado) o superior.
Memoria: 512 MB RAM (mínimo recomendado).
Disco duro: 5 GB.
Puertos: RS232 (para consola), y USB (arranque alternativo).
Un elemento que se tuvo en cuenta es el hardware de red a emplear. En este aspecto existen diversas opiniones, y basado en las consultas que se realizaron en muchos foros en Internet, las tarjetas de red con mejores prestaciones son las de marca Intel, dado que tienen un mejor comportamiento en infraestructuras de redes complejas donde la pérdida de paquetes debe ser la mínima posible; para el caso en que la topología de la red es sencilla, con una tarjeta de red Realtek basta. No obstante, ésta debe de tener las siguientes características principales:
Velocidades de 100 Mbps, 1 Gbps, 10 Gbps.
Soportar el estándar IEEE 802.1Q (VLAN tagging).
Soportar el estándar IEEE 802.1P (Calidad de Servicio, QoS).
Soportar el estándar IEEE 802.3X (Control de flujo Full Duplex).
Soportar el estándar IEEE 802.3ad (Creación de agregación de enlaces, Bonding).
Teniendo en cuenta lo anterior, y la tecnología informática y de comunicaciones que es comercializada por empresas nacionales, las candidatas son las siguientes:
Realtek RTL8139B, RTL8110SC (L), RTL8111C, RTL8169S. (PCI 32 y 64 bits).
Allied Telesis (PCI 64 bits).
Intel PRO/1000 GT/MT/PT de uno, dos o cuatro puertos, donde la GT es la más barata de todas. Estas tarjetas están recomendadas para redes donde se manejen muchas VLANs.
En este aspecto, es bueno aclarar que mientras se disponga de un Switch capa 2 completamente administrable, se logra implementar una topología de red que puede ser perfectamente escalable y modificable, dado que permiten la creación de LAN’s virtuales o VLAN’s para segmentar la red en diferentes subredes.
La conectividad entre el switch capa 2 y el PC-router sería a través de un puerto troncal. Ahora bien, en caso de no contar con un switch de estas características queda la opción de utilizar varias tarjetas de red en el PC-router.
Una vez escogido el hardware necesario se procede a instalar la distribución, la cual está situada en http://mirror.sliqua.com/vyos/.
Metodología de uso
A continuación se describe la metodología a seguir para implementar el PC-router 3,4,5. Bajo ciertos entornos no será necesario ejecutar todos los pasos:
Instalación de la versión VyOS escogida.
Configuración de los adaptadores de red.
Habilitar SSH para el acceso remoto SSH.
Configuración de las rutas necesarias (estáticas o dinámicas).
Configuración del protocolo NAT.
Configuración de las reglas de cortafuegos necesarias: Existen dos formas de establecer las reglas. Una, es al estilo tradicional basado en la dirección del tráfico de red que pasa por una interfaz de red determinada (IN/OUT), y la otra forma es mediante Políticas de Zona.
Configuración y activación de los servicios de monitoreo de red (SNMP, NetFlow, etc.); los cuales serán la parte fundamental en la integración con herramientas de monitoreo externas como Cacti, Zabbix, ManageEngine NetFlow Analyzer y OSSIM.
Configuración de políticas de Calidad de Servicio (QoS) para servicios específicos que se deseen priorizar: Como ejemplos de ello tenemos el caso de los servicios de VoIP/TelefoníaIP y el caso de la transmisión de imágenes entre instituciones.
Establecer los repositorios de actualizaciones y parches de seguridad.
Caso de uso y resultados
La infraestructura de red del hospital, así como los servicios que se ofrecen han ido en ascenso de manera gradual a partir del año 2012, sin embargo el enlace con el proveedor que es ETECSA cuenta con un único nivel de seguridad que es un servidor firewall Vyatta con dos interfaz de red.
La red LAN de la institución, a partir del año 2015 posee acceso pleno a internet y acceso a más de 200 cuentas de correos electrónicos con dominio institucional y alrededor de 150 en la red de salud INFOMED, todas con salida internacional. Así como 20 máquinas sin discos duros (o clientes ligeros) y áreas vulnerables como contabilidad y servidores de datos, mezcladas en un mismo segmento de red.
Demasiado tráfico en una sola subred, que presta varios servicios, limitándose el flujo de trabajo para las distintas áreas. Solucionar esto requiere pasar a niveles superiores en cuanto a la segmentación de la red.
Evaluando lo anteriormente descrito, y con la adquisición por parte de Brocade de Vyatta, y el abandono de la versión Community del popular router se procede a eliminarlo como PC-router y se instala el VyOS en su versión 1.1.7 en una computadora Pentium III con las siguientes características:
CPU: Intel Pentium III 700 Mhz
Memoria: 512 MB DIMMs
HDD: Seagate IDE 40 GB
Tarjeta de red: Modelo Realtek RTL8139C
Descripción de las subredes configuradas:
Red Externa INFOMED (eth0), aquí está el equipo directo a Internet, router del proveedor ETECSA (router Telindus 1421).
Subred local HGrillo (eth1), aquí estarán todas las computadoras del centro, excepto las descritas en los puntos 3 y 4.
Subred ContabHG (eth2), los host de Contabilidad.
Subred Servidores (eth3), servidores o máquinas como servidor.
Las interfaces 2, 3 y 4 están conectadas a puertos específicos de un switch TP-LINK SL2252WEB, el cual se configura atendiendo a su característica de soporte de VLAN’s y direcciones MAC estáticas. En la siguiente figura se muestra la topología de red lógica de cómo quedó segmentada la red del hospital.
Hasta este punto se han configurado los pasos del 1 al 5 de la metodología propuesta. Y se continúa estableciendo las reglas del cortafuego al estilo tradicional basado en la dirección del tráfico de red que pasa por una interfaz de red determinada (IN/OUT). Además, se activa el módulo de SNMP y NetFlow para monitorizar el comportamiento del mismo con herramientas externas que permitan monitorizar y visualizar gráficas y estadísticas de dispositivos conectados a una red.
Resultados
Se logra un mejor aprovechamiento del parque tecnológico de red con que cuenta la unidad permitiendo el diseño de una topología de red más eficiente y robusta.
Se realiza la segmentación de la red interna teniendo en cuenta las 4 áreas más vulnerables de la institución en cuestión.
Se logra la posibilidad del monitoreo de todo el tráfico de red.
Se confirma que el software libre es más asequible para cualquier usuario, cumple con los estándares de calidad de servicio estando dentro de los rangos que permiten un buen desempeño de la conexión.
Conclusiones
Brinda un cambio en cuanto a la forma de cómo las instituciones pueden mejorar su infraestructura de red utilizando tecnologías open source de la misma forma que si contaran con un modelo de red con equipamiento comercializable.
Evidencia alta eficiencia y personalización en el manejo y monitorización de la infraestructura de red, según el entorno en que se utilice.