Professional Documents
Culture Documents
y servicios en el
CIPFP Mislata
Ramn Onrubia Prez
ronrubia@fpmislata.com
Situacin de partida
Modelo de red de centro de
Conselleria
Modelo simple y sencillo
de implantar en
INTERNET
cientos de centros
Problemas en aulas/departamentos:
SECRETARIA + AULAS +
DEPARTAMENTOS
Rendimiento
DIRECCION
Seguridad
Escalabilidad
Rendimiento
Rendimiento
Broadcast/multicast
BUCLE EN CABLEADO!!!
Seguridad
No hay segmentacin
INTERNET
Se pueden hacer ataques MITM:
Arp poison
ICMP Redirect/IRDP
ROUTER
Rogue DHCP/ACK Injection
ISP
DNS Spoofing/Site Spoofing
SSLStrip/WebMITM
No hay mecanismos de proteccin
DHCP ante ataques DHCP
starvation o rogue DHCP
DEPARTAMENTO
SALA PROF.
AULA
ATACANTE VICTIMA
Necesidades y
propuestas de mejora en
el CIPFP Mislata
Rendimiento de la
red Servicios de red
confiables
Plataforma
para proyectos Gestin wifi
Una solucin
unificada
quiero!!!
Seguridad Monitorizacin
informtica de red y servicios
Control de acceso
a Internet
Rendimiento de la red
Aumentar disponibilidad
Servicios de red confiables
Tolerancia a fallos
Servicios en cluster de HA
Segmentacin en VLAN's con
asignacin de subredes a partir
de 172.16.0.0/16
ROUTER
Dominios de broadcast reducidos
ISP
Contencin de broadcast
(STORM control)
ROUTER ROUTER
35 VLAN/subredes actualmente
INTERNO 1 INTERNO 2
ROUTER
Dos routers intermedios con NAT
VIRTUAL en alta disponibilidad (VRRP)
VRRP
Balanceo esttico de VLAN's
VLAN de ToIP en alta prioridad
Conmutadores de GE con
VLAN VLAN VLAN VLAN VLAN VLAN
AULA 1 AULA N DEPART. WIFI ALUMN.WIFI PROF. ToIP enlaces LACP en alta
disponibilidad + RSTP + 802.1Q
Enlaces IDF con MDF
IDF: Rack intermedio
MDF: Rack principal
CORE (MDF)
No se han representado todos
los racks por simplificar
Los enlaces entre switches en
los racks intermedios con el
core de la red se hace con
agregacin de puertos (LACP
802.3ad)
Las tramas se van
RACK RACK RACK RACK RACK balanceando por los miembros
1B DEPARTAM. OPTICA/SA 1A6 1A4 del LAG
Aumenta BW disponible y la
disponibilidad ante fallo de un
cable o puerto
RACK
TURISMO/BIBLIO
Wifi Unificada
Situacin de partida
Extended Service Set (ESS)
Cada AP de distintos
fabricantes
No hay integracin en el
funcionamiento ni en la gestin
de los AP
Facilidad de gestin y
escalabilidad
BSSID 2
rosa_dels_vents RADIUS
fpMislata
PORTAL
CAUTIVO
Portal cautivo
rosa_dels_vents
Sistema para el control de acceso a
la wifi del centro
Desarrollado ntegramente en el
CIPFP Mislata con software libre
Es un sistema como el implantado
en hotspots en cafeteras, hoteles,
aeropuertos, etc ROUTER
INTERNO
El usuario se identifica de forma
sencilla a travs un portal web, sin OK PORTAL
CAUTIVO
necesidad de hacer complicadas
ACCESO A
configuraciones en la tarjeta LA RED
inalmbrica
Sistema de autenticacin contra
RADIUS y la BBDD usuarios del
centro
LAN DELCENTRO
Funciona en alta disponibilidad entre
los dos servidores del centro
RADIUS
Portal cautivo - login
Cluster HA de servicios
Arquitectura fsica actual
INTERNET
ROUTER
INTERNET
NODO 1 NODO 2
(ANDREW) (KATRINA)
COMUNICACIN CLUSTER
CORE 1 CORE 2
VLAN A VLAN B VLAN C VLAN D VLAN E VLAN F VLAN G VLAN H VLAN I VLAN J
Arquitectura fsica futura
INTERNET
Eliminacin de puntos de fallo
Necesidad de MSTP
ROUTER
INTERNET
NODO 1 NODO 2
(ANDREW) (KATRINA)
COMUNICACIN CLUSTER
CORE 1 CORE 2
VLAN A VLAN B VLAN C VLAN D VLAN E VLAN F VLAN G VLAN H VLAN I VLAN J
Servicios
DNS y NTP
GAIA CLUSTER
RADIUS
CENTRALITA IP
VIRTUALIZACION
Fallo de un servicio
Vaya! Ha fallado mi
servicio A y no
Odo cocinaaa!
SERVICIO A SERVICIO B puedeLevanto
arrancar.el servicio A E
SERVICIO SERVICIO F
Aviso a mi compaero
SERVICIO A
NODO 1 NODO 2
Por favor, arranca el servicio A
(ANDREW) (KATRINA)
para continuar dando servicio
SERVICIO C SERVICIO G
SERVICIO D
SERVICIO H
AULAS DEPARTAMENTOS
Fallo de un servidor
Vaya! Parece no hay
nadie. Asumir SERVICIO F
SERVICIO A SERVICIO B SERVICIO E
todos sus servicios
SERVICIO D
SERVICIO A
NODO 1 NODO 2
(ANDREW) Sigues ah, compaero? (KATRINA)
SERVICIO B
SERVICIO G
SERVICIO C
SERVICIO D
SERVICIO H
SERVICIO C
AULAS DEPARTAMENTOS
Virtualizacin
iSCSI LUN's
(VM's) MORDOR
(Synology RS814)
STORAGE NETWORK
2 IS
CS
FS
G +
SI+ G
FS
C 2
IS
NODO 1
NODO 2
(ANDREW)
(KATRINA)
Poltica restrictiva en las aulas: slo se permite el
trfico y aplicaciones explcitamente habilitados
Se utiliza iptables en un archivo de configuracin
sincronizado en el cluster
Seguimiento de conexiones: utilizacin de conntrackd
para sincronizar seguimiento de conexiones en el cluster
TODO: implantar un NIDS (Suricata) o HIDS (OSSEC)
para deteccin de ataques internos
Envenenamiento ARP
Deteccin ARP poison
ARP poison es la base de muchos ataques MITM
Disponible en muchas herramientas al alcance de cualquiera
sin ser experto hemos sufrido ataques de este tipo en el
centro (ARP Poison, DNS Spoofing, Site spoofing)
Se detecta con el software arpalert instalado en el cluster
Genera BBDD de asociaciones MAC-IP y ante cambios
reacciona como se le indique
En nuestro caso generamos alerta por email
TODO: implementar ARP inspection en los conmutadores
del centro prxima actualizacin del firmware
Alerta ARP poison
Bloqueo de tneles
PROS CONTRAS
Permite al profesor:
Abrir Internet (con las restricciones de Conselleria)
Cortar Internet
Dejar acceso slo al Moodle cortando el resto
Dejar acceso a los dominios que el profesor decida: p.ej. un
peridico online, la wikipedia, el servef, etc
Permitir el proxy transparente para aplicaciones que no soportan
proxy
G.A.I.A. - login
G.A.I.A. - panel de control
Alternativas a GAIA
En muchos centros, el profesor que quiere cortar Internet tiene
que usar mtodos fsicos:
apagar el cuadro elctrico del aula nadie puede usar el
ordenador
apagar el switch del aula nadie puede usar la red local ni
Internet
desconectar el cable de red del switch nadie puede usar
Internet
GAIA gestiona el acceso a Internet del aula de forma lgica, no
fsica
Las alternativas basadas en un servidor de aula que controla el
acceso a Internet presentan un punto de fallo en ese equipo
GAIA es centralizado y en HA y permite cualquier diseo de
red fsico
Monitorizacin
Necesidades monitorizacin
Conmutadores
Servicios:
Software fiable
PROXMOX VE
Porqu PROXMOX VE?
SERVIDOR
DEDICADO
(ANFITRIN)
Red privada 192.168.59.0/24
1
Peticin dominio 3
2
SERVIDOR
DEDICADO
(ANFITRION)
1 2
ver
er
r
we
e
bs
rv
b
we
se
se
b
rv
we
e
r3
10.59.29.X
Autenticacin OK
Inicio sesin VPN
IP: 10.59.29.X
Ruta: 192.168.59.0/24 dev tun0
Red vpn-clients
acce10.59.29.0/24 tnel cifrado
so SERVIDOR
DEDICADO
Red host-only 192.168.59.0/24 (ANFITRION)
ALUMNO
EN CASA