Como optimizar el tráfico a internet con un Firewall NGFW

Hace ya tiempo que los Firewalls evolucionaron de esa barrera perimetral con secuencias de IPs y puertos a equipos con funcionalidades avanzadas. Integración con directorio activo, identificación de aplicaciones en capa 7, gestor de conexiones remotas VPN y una larga lista que dan forma a lo que se conoce como Next Generation FireWalls. Hoy vamos a hablar de una característica poco publicitada de algunos NGFW, la capacidad de gestionar múltiples líneas de conexión al exterior en general (y a internet en particular).

Situación de partida, ¿que necesidades de comunicación al exterior tienen las empresas?

En lo que respecta a comunicaciones hacia el exterior, a la persona en el puesto de Director técnico, CIO o responsable de comunicación se le exige varios de los siguientes puntos:

  1. Comunicación segura y confiable entre sedes
  2. Conexión a Internet con parámetros de rendimiento aceptables.
  3. Redundancia de todo lo anterior
  4. Con el menor coste posible.

Analicemos cada uno de los requisitos en mayor detalle

  1. Para la comunicación entre sedes la opción por defecto por la que optan muchas organizaciones es una red MPLS contratada a un ISP mayorista. Disponemos de una red privada donde la configuración y el mantenimiento la realiza un tercero y con unos ancho de banda garantizado. Todo muy bonito, ¿verdad? La realidad es que la red es compartida a nivel físico, los anchos de banda son muy bajos (especialmente cierto en MPLS internacionales), la privacidad depende de la confianza en el ISP de turno y la capacidad de realizar operaciones técnicas complejas está muy limitada.
  2. La navegación a internet siempre ha sido un tira y afloja entre las capacidades de las líneas ISP y los requisitos de las aplicaciones. En algún punto, este equilibrio se rompió por las nuevas necesidades corporativas en materia de seguridad. A día de hoy ocurre que parte o toda nuestra operativa IT está en formato cloud con aplicaciones SaaS pero nuestra conexión a Internet se basa en la tunelización de tráfico hacia una sede central donde controlo todo el flujo. A esto hay que sumar que muchas aplicaciones no solo requieren un ancho de banda mínimo, sino que además los parámetros de latencia y jitter deben permanecer en valores óptimos (pensemos en una llamada VoIP, una videoconferencia).
  3. Hoy día no se tolera perdida de servicio. A menos que seamos amanuenses en un convento, la mayor parte del tiempo requerimos conexión a internet para desempeñar nuestra tarea. De manera general, un corte de conexión a internet suele ser desastroso para la operativa de a empresa. Y porque no decirlo, una mancha en la imagen del departamento de IT.
  4. Y por supuesto, con el menor coste económico y operativo posible. Atención a la diferenciación, económico y operativo. El euro pesa mucho en las decisiones pero no debemos obviar que carga operativa nos va a suponer cada opción y por supuesto que flexibilidad técnica brinda.

El problema

Con todo esto, el esquema de partida de la mayoría de empresas comienza siendo un conjunto de sedes remotas unidas a una sede central por MPLS y un firewall y una salida a internet bien grandota en la central por donde pasa todo. Gráficamente algo así:

Si tu red esta representada por esta imagen o similar, habrás sufrido los inconvenientes que tiene:

  • Las redes MPLS son en general caras y lentas además de ser poco ágiles ante cambios.
  • La conexión a internet agregada en DataCenter no da respuesta a necesidades específicas.
  • No tenemos ningún mecanismo de seguridad en las sedes.
  • No existe visibilidad de lo que está ocurriendo en las tripas de nuestra red
  • La redundancia de conexiones al exterior no es fácil de gestionar desde un punto de vista técnico

La pregunta, ¿como gestionar el tráfico de salida a internet de forma eficiente técnica y económicamente?

De acuerdo, ya eres consciente de las deficiencias de la red de comunicaciones de tu empresa. Pero, ¿que alternativas tienes? No hay una respuesta unificada porque cada organización tiene sus necesidades particulares. Lo que sí hay es una serie de pautas a seguir como por ejemplo:

  • Añadir en las sedes al menos una segunda línea de conexión con la central por redundancia. En lugar de una MPLS puede ser una conexión a internet con un tunel IPSec para comunicación segura.
  • Descargar el control de seguridad en un firewall en la sede y derivar parte del tráfico directamente a Internet sin pasar por la sede central
  • Valorar la sustitución de la costosa línea MPLS por una línea genérica a internet con las medidas de autenticación y encriptación suficientes.
  • Aumentas el número de líneas de internet para asegurar la conexión al exterior con la mejor disponibilidad en todo momento.

Es decir, estamos pidiendo la capacidad de analizar y gestionar el tráfico de salida desde cada una de las sedes hacia el exterior. ¿Como lo conseguimos? Efectivamente, instalando un Firewall de tipo NGFW en cada una de las sedes.

La solución, SD-WAN de Fortinet

Llega el momento de aterrizar la idea. Somos conscientes de las carencias de nuestra red, queremos reducir costes y mejorar nuestra operativa. ¿Como lo hago? En este articulo os explicamos que aporta Fortinet y su tecnología SD-WAN. Te explicamos en que consiste.

SD-WAN de por si es un concepto marketiniano, algo parecido a lo que ocurre con SDN que cada vendor empuja su idea del concepto. Para Fortinet, SD-WAN es la tecnología que permite optimizar los flujos de conexión a internet de manera dinámica según las necesidades de cada usuario y aplicación. Ahí es nada. Dicho de otra manera, es capaz de sacar el tráfico por una u otra línea según los parámetros técnicos de la línea en cada momento. Pongamos un par de ejemplos reales para entenderlo mejor:

  • Nuestra empresa ha apostado por Office365 y la aplicación Teams de Microsoft requiere una latencia determinada en las sedes. En lugar de tunelizar el tráfico hacía la sede central y sacarlo a  internet, pasemos a un modelo donde identificamos el tráfico a nivel de aplicación en la sede en local con un NGFW y derivemos el tráfico directo a Internet. Y en caso que la línea a internet falle o tenga parámetros de latencia malos, derivemos el tráfico temporalmente a través de la conexión hacia la sede central.
  • Hemos apostado por reducir nuestra factura y desvincularnos de nuestro ISP sustituyendo la MPLS por dos líneas de fibra FTTH domésticas más una línea con radioenlace todo ello con conexión a la central con túneles IPSec. Por defecto voy a sacar todo el tráfico no crítico a través de la línea 1 de fibra, el tráfico critico a través de la línea 2 de fibra y me reservo el radioenlace en caso de problemas. Por ejemplo, si detecto una perdida de paquetes del 1% en la línea 1 de fibra considero que la línea ha dejado de ser confiable y comienzo a sacar todo el tráfico por el radioenlace que tiene menor capacidad pero me asegura la entrega de los paquetes. De manera continua se comprueba la línea de fibra hasta que vuelve a los parámetros de calidad aceptable y volvemos a enrutar el tráfico como anteriormente.

Este y múltiples ejemplos más se consigue gracias a la combinación de diferentes tecnologías punteras proveídas por Fortinet:

  • Funcionalidad SD-WAN para gestionar el tráfico de salida al exterior.
  • Identificación de aplicaciones para categorizar cada flujo.
  • Establecimiento de túneles IPSec de manera dinámica.
  • Gestión centralizada de NGFW mediante software específico como FortiManager.

Finalizando este artículo te estarás preguntando si esta solución realmente es tan buena y si es aplicable a ti. En Open3s nos gusta hacer una venta consultiva donde estudiamos cada caso en detalle. Si estás interesado, déjanos tus datos que estamos encantando de charlar contigo sobre este y otros temas.

Autor: Miguel Angel Corzo, Área manager Networking y Seguridad.