Segmentación dinámica: bienvenido a ZombieLand

Post date: May 11, 2020, 11:13 AM

Miro por la ventana, la niebla se cuela entre el verde de los montes, lenta, amortiguada, sin prisa, la humedad se percibe a través del cristal, a ratos el lienzo es verde, a ratos gris.

Me asomo por el balcón, miro hacia abajo, no veo presencia alguna; bajo las escaleras, de nuevo miro a través del cristal del portal. Vía libre. Con pasos apresurados me acerco al coche, hoy voy cargado, portátil, comida, un par de firewalls, las llaves se me caen al suelo, ¡mierda!, tiro todo al suelo y giro 360º ―nadie a mi alrededor― recojo las llaves y abro, primero la puerta y a continuación el maletero, cojo las cosas del suelo y las voy arrojando dentro.

Alguien en alguna fábrica se molestó en embalar cuidadosamente el material, pero no creo tuviera en cuenta ingrávidos desplazamientos horizontales de más de 2m de distancia, tampoco creo tuviera en cuenta las más de 200 pulsaciones que mi desvencijado corazón experimenta desde hace 2 años.

Todavía rememoro aquella videoconferencia, un cumpleaños y varios amigos, algunos en Madrid, otros Santander, Bilbao, algún despistado en Tokio y el homenajeado: el Chino, en la isla de La Palma ―antaño Isla Bonita―.

Recuerdo el descojono cuando Juan preguntó a nuestro querido astrofísico canario, por el paso del cometa que había rozado nuestra atmósfera días antes, todo era normal adujo el Chino, ningún telescopio lo había visto, salvo cuando el cometa realmente se encontraba ya a más de 1 millón de kilómetros de la Tierra.

Sólo había trascendido por un anormal aumento de opacidad de la materia inerte que la estela depositó en nuestra Ionosfera. Podíamos haber sido los siguientes dinosaurios y sin embargo nadie se habría enterado. La mayoría hubiéramos estado de fiesta ese verano, algunos hasta dando saltos de alegría; un tanto perjudicados podríamos haber sospechado del cubata ―potencial garrafón―, alguno hasta incluso hubiera anhelado que esa mujer que un minuto antes le había mirado con vicio y lascivia le hubiera rociado el Gin-Tonic, el cuerpo y los calcetines de burundanga. Mientras en medio del ciego colectivo flotaríamos y danzaríamos.

Pero todo a 200: 200 m de altura; 200 m/s; 200 cachitos por mmᶾ ... 200 desengaños/min ...

Ese escenario hubiera sido más plausible en efecto que esos cuerpos que ahora acechan por doquier. Aquella estela dejó una Caja de Pandora, algo cambió en nuestro ADN, no afectaba a todos, pero se contagiaba, nada de esporas en suspensión, ningún leve contacto ni intercambio de fluidos. A mordiscos.

Arranco el coche, esto me da seguridad, bajan mis pulsaciones, pongo rumbo al curro, según doblo la rotonda y enfilo la calzada comienzo a ver los primeros del día, vagando por el borde de las carreteras. Deambulan sin rumbo pero tienen predilección por los arcenes, a la espera de una avería o accidente. El sector servicios hace tiempo abandonó las oficinas y todos teletrabajamos desde casa. Gracias a Dios no les da por morder los cables. Sólo circulamos los estrictamente necesarios. El Gobierno organiza batidas y va liberando municipios de zombis, aquellos con la etiqueta verde -libres de mordisco- disponen de libre circulación, el resto en cuarentena y sólo cola en la pelu Lady Gandalf.

Alto de Gatika, observo a un huesudo que comienza a cruzar la calzada mirándome con cadavéricas cuencas y ventilada osamenta, soy su target, acelero, él aprieta el paso, ve lo que se viene encima, se pone de perfil, arquea dorso, saca pelvis, pase de espalda al paso ―capote y falda escocesa a viento en redonda verónica― libra el morro de mi coche, abro puerta y guillotino su pierna derecha, cierro puerta, miro por el retrovisor y ahí queda el "zombie Manteca" que abandona el ruedo dando saltitos con su ahora única pierna.

Aparco en la explanada cercana a la oficina. Me acerco al trote mientras a punto estoy de adelantar a mi jefe, la verdad, a pesar de algún desencuentro en el pasado nos tenemos aprecio así que extiendo a duras penas mi única mano libre con una palmada en la espalda mientras observo cómo un objeto esférico con toda la pinta de ser un ojo sale despedido hacia delante y comienza a dar pequeños botes. Empiezo a emitir sonidos guturales, contorsiono un poco mi cuerpo, aligero mi paso y continúo con disimulo sin mirar atrás.

Presento el material, enciendo el portátil, miro por la cristalera el verde y árboles del parque, me encanta trabajar en esta sala, estoy aislado del barullo de los compañeros, no me interrumpe el teléfono, pongo Heroes de Bowie y en minutos un montón de zombis se agolpan frente a la fachada del edificio. Pulso la seta de emergencia y una descarga de 100.000 voltios recorre el perímetro mientras los huesudos comienzan a arder y desparecen de mi vista volviendo al verde del parque.

Salgo de todo este trance, apenas hay compañeros, no hay zombis, pero sí un silencio y una no menos onírica realidad. El puñetero chungovirus que se ha puesto de moda.

Este finde pasado hablé con amigos, algunos con puestos directivos, la consigna: conseguir fondos públicos y privados, todo Dios a teletrabajar, recortar jornada y garantizar un salario de contingencia hasta septiembre, confiando en no tener que tomar posteriormente decisiones de corte más dramático. Y durante todo este tiempo ¿qué? Una oportunidad, la de sacar la cabeza del agua de nuestro día a día que no nos permite innovar, romper, hacer algo diferente o sencillamente hacer algo para lo que nunca encontramos tiempo.

¿Qué os propongo? vamos a matar zombis. Vamos a aislarlos como al virus, vamos a confinarlos para que no se propaguen, vamos a rodearlos de arcos voltaicos y exterminarlos. Vamos a segmentar nuestra empresa.

¿Qué es la segmentación? la segmentación no es nada más que partir en cachos nuestra red, cada cacho está protegido por el Firewall, ese arco voltaico friezombis.

¿Qué tipo de cachos podemos contemplar? los que queramos.

  • Por Dptos: Comercial, RRHH, Marketing...

  • Por exposición: IT, OT, Invitados...

  • Por empresas del grupo: Mecanizados Pepe, Corrugados Pepe, Servicios Pepe ...

¿Qué aporta la segmentación? el ejemplo lo tenemos ahora mismo con el confinamiento, impide que un virus se propague, que no pase de Gatika, que no pase de un Dpto. Comercial por ejemplo.

Además, independientemente de información con o sin virus, nos aporta una estanqueidad de la información entre Dptos. y un control de acceso a la información entre Dptos.

¿Quién define la segmentación? los switches, esos equipos con lucecitas que suelen tener un montón de cables conectados en los cuartos de comunicaciones. A cada puerto donde se conecta un cable le podemos decir que pertenece a una u otra zona, a un Dpto. Comercial o a un Dpto. de Marketing.

¿Quién controla qué información fluye entre cada zona? el firewall decide quién accede, a qué accede, a qué servicio y en qué sentido. Y muchas más cosas que quedan fuera del alcance de este artículo.

¿Qué ocurre si alguien se conecta con un cable a un puerto del Dpto. de Gerencia? Que tendrá acceso a toda la información que circule en esa zona. Por eso los armarios de comunicaciones tienen llave, al igual que el cuarto de comunicaciones o servidores y el despacho del Gerente.

¿Una solución un poco endeble no? la mayoría de armarios de comunicaciones se encuentran abiertos, algunos directamente sin tapas, suele haber mucha coincidencia entre el cuarto de servidores y de la limpieza, quizás el despacho del Gerente sólo porque suele ser un señor serio con cara de no andarse con chiquitas podemos dotarle de cortina andaluza con toda tranquilidad.

Por otro lado no hay garantía de la identidad del usuario/equipo que se conecta a la red en cada puerto

¿Podemos mejorarlo? : con segmentación dinámica. A alguno le puede sonar a algo novedoso, trending en foros Cisco y Juniper. Una cosa es que esté de moda, y otra es que sea nuevo. Se basa en el std. 802.1x (RFC.3580), del año 2003. Ahí es nada, 17 añitos.

¿En qué consiste la segmentación dinámica? en una asignación de zona en función del usuario que se autentique y no del puerto al que esté conectado físicamente.

Conseguimos 2 cosas:

  • El usuario consigue o no acceso a la red.

  • En función del usuario accederá a una u otra zona.

¿Qué se necesita para ponerla en marcha? necesitamos:

  • Switches gestionables que soporten 802.1x y Dynamic VLAN.

  • Un firewall que preferiblemente soporte VLAN.

  • Un servidor de dominio Microsoft actualizado.

  • Un certificado digital que nos acredite en la red.

¿De qué orden de inversión estamos hablando? para implementarlo de una forma básica y si la red está relativamente actualizada podemos estar hablando de un mero proyecto de consultoría y configuración.

Para implementarlo correctamente y/o acorde a la normativa vigente en función del sector empresarial puede ser necesario dotarle de una renovación y/o ampliación de hardware.

En cualquier caso en este momento hay ayudas por parte de SPRI para este cometido:

https://www.euskadi.eus/y22-bopv/es/bopv2/datos/2020/04/2001761a.pdf

Salgo del curro, ya no llueve, vuelvo a mis pensamientos, corredor de Mungía, ante mí, recta inmensa, eterna, suena Ennio y los arbustos del lejano Oeste cruzan de un lado a otro de la autovía, ni coches ni zombis, el perezoso de Zootrópolis se apodera de mí, mi faz torna sonriente a cámara lenta mientras el cuenta kilómetros asciende prusiano, inexorable: 120; 150; 170; 190 ... 200 km/h ―definitivamente mi cifra―, en algún momento he salido de mi letargo porque circulo de nuevo por el alto de Gatika mientras por el retrovisor veo un zombi con muletas rompiendo una cabina de teléfonos y al frente el horizonte y la ilusionante puesta de sol esperando termine este sueño.