Sou a: Inici / Usuaris / Victor Carceler / red / propuesta-1

Propuesta organizativa para la LAN del centro

Enero de 2006: Desagradables problemas de denegación de servicio han demostrado que es necesario reorganizar la LAN del centro para hacerla más tolerante a sus usuarios

Situación actual

La LAN del IES Puig Castellar ha crecido de manera continuada y muchas veces con más precipitación que planificación. Actualmente la LAN cuenta con los siguientes elementos:

  • Cableado estructurado realizado durante el curso 2004/2005
  • Instalación de puntos de acceso WiFi
  • Participación en la XEiLL
  • Diversas aulas de informática
  • Diversos ordenadores repartidos en departamentos, seminarios y lugares comunes del centro
  • Algunos servidores:
    • Galadriel: NUT (monitor SAI), NTP, DHCP, DNS, Proxy, Apache (con varios VHosts haciendo de proxy de otros servidores WWW), control iptables entre diferentes subredes.
    • Gondolin: Servidor WWW -> Web del centro (Plone) + mirror (Apache)
    • Hobbiton: Servidor raíz de la XEiLL -> VPNs, OSPF, DHCP, DNS, NTP, Jabber, web
    • Valinor: Servidor didáctico del departamento de informática. Servidor HTTP para los directorios personales de sus usuarios
  • Un router ADSL


La configuración de red de los clientes se realiza mediante asignaciones DHCP (IP, netmask, domain, dns server, ntp server). Las asignaciones DHCP se realizan a partir de la MAC de cada máquina, lo que permite asignar la misma IP a cada máquina.

Las máquinas están distribuidas en distintas subredes:

192.168.0.0/24
Router, secretaría, servidores, máquinas de los departamentos y máquinas que todavía no se han movido a la subred adecuada.
192.168.10.0/24
Subred para el aula ASI1
192.168.11.0/24
Subred para el aula ASI2
192.168.12.0/24
Subred para el aula ESI
192.168.13.0/24
Subred para invitados (portátiles u ordenadores sin MAC registrada)
192.168.14.0/24
Subred para AIF

A fin de evitar la saturación del router se han tomado las siguientes medidas:

  1. No es posible el acceso HTTP o FTP al exterior sin configurar el proxy (ACL en el router)
  2. El grueso de los ordenadores de aula se ha movido a una subred propia


Pero la efectividad de estas medidas no es aceptable, pues al no existir VLANs (más que para los puntos de acceso) cualquier ordenador puede cambiar de subred al cambiar su configuración de red de forma manual. Ordenadores infectados por malware pueden causar graves disfunciones en la red (básicamente saturación del router), lo que en ocasiones, fomentado por las medidas dispuestas por los administradores del router, ha llevado a que la web del centro no sea accesible desde Internet.

Problemas a resolver

  1. Debe segmentarse físicamente la red para evitar que problemas en un segmento afecten a la totalidad de la LAN
  2. Deben protegerse los servicios básicos para asegurar su correcto funcionamiento y disponibilidad
  3. Debe ofrecerse el mejor servicio posible en cada situación

Esquema propuesto

esquema_red.png

Elementos:

Router ADSL
Router Cisco 1700, balanceo de carga entre dos canales de 2Mbps
VSx
Virtual Switch - X -> Un switch virtual creado mediante la agrupación de varios puertos de switches físicos en una misma VLAN
DMZ
Zona desmilitarizada formada por: Hobbiton, Galadriel y un PC de secretaría. En la DMZ están las máquinas que prestan servicio a Internet (Hobbiton y Galadriel) o bien deben poder acceder a Internet de manera autónoma (uno de los PCs de secretaría). Está delimitada por el router y por Galadriel (que utiliza sus dos NIC para actuar como firewall)
Lx+
Diferentes LANs para máquinas ubicadas en diferentes lugares del centro, o bien con necesidades particulares. El aislamiento entre las LANs se consigue mendiante VLANs. Entre las subredes previstas se encuentran: Servidores, ASI1, ASI2, ESI, Departamentos, AIF, ESOBatx
Galadriel
Proporciona los servicios de red básicos (DHCP, DNS, NTP, NUT) para que la red del centro funcione. Además permite  el acceso de las máquinas a Internet al funcionar como Proxy y desde Internet recibe las peticiones HTTP, HTTPS y SSH. Cuenta con dos NIC y funciona como firewall entre la DMZ y las diferentes subredes del centro
Hobbiton
Base de la XEiLL, también cuenta con dos NIC y actúa como Firewall entre la XEiLL y la LAN del centro
Gondolin
Servidor WWW del centro. Publica la web del centro con Plone+Zope y el mirror con Apache
Valinor
Servidor didáctico del departamento de informática. Permite el acceso SSH  a todos sus usuario y un Apache permite que estos publicen contenidos en sus directorios personales. Debe tener una interfaz virtual de red en cada LAN desde la que aceptará conexiones

Beneficios 

  1. Separación del tráfico entre: Internet, DMZ, resto de subredes
  2. Los clientes del centro no pueden acceder directamente al Router ADSL, su default gateway será Galadriel
  3. Galadriel impide cualquier conexión con el exterior. Sólo permite el uso del Proxy HTTP/FTP y Jabber
  4. Un conjunto de máquinas infectadas por malware no saturará el router, y no deberán crear problemas más allá de la subred a la que pertenecen
  5. En el futuro es posible agregar un nuevo router entre Galadriel y las diferentes subredes para conseguir un mayor aislamiento que el proporcionado por las VLANs

Deficiencias

  1. Todas las subredes protegidas cuelgan de la misma NIC de Galadriel (con diferentes alias). Si una máquina cliente se cambia su configuración de red puede pasar a formar parte de otra subred (excepto de la DMZ)
  2. Aún es posible que una máquina cliente malvada pueda intentar usurpar la dirección IP (o bien crear una colisión de direcciones) de: Galadriel, Gondolin, Valinor o cualquier otra máquina cliente
  3. Todo el tráfico de nivel de enlace o capas superiores si no son IP (típicamente las difusiones NetBEUI) podrá inundar las diferentes subredes de los clientes
  4. Si Galadriel se estropea, nadie (salvo el PC de secretaría) podrá navegar por la web. Tampoco se podrá acceder desde fuera a los servicios ofrecidos por el centro. Debería prepararse una alternativa a Galadriel para el caso de avería o bien paro por mantenimiento

Posibles mejoras futuras

  1. Preparar un router (PC con varias NIC físicas) para asegurar la estanqueidad de las subredes con necesidades especiales (VS2 con Gondolin y Valinor) o diferentes aulas
  2. Preparar una máquina para que pueda substituir a Galadriel en caso de avería o paro por mantenimiento

Plan de trabajo

  1. Identificar las necesidades de diferentes máquinas
    • Es suficiente con una subred para todos los ordenadores de los diferentes departamentos y espacios comunes (biblioteca, dirección, sala de profesores...) del centro ?
    • Puede haber departamentos (tal vez tecnología y aif) que prefieran tener los ordenadores del departamento en la misma subred que los del aula
    • Es suficiente con una subred para ESO y Bachillerato ?
    • Hay alguna razón para exponer a Gondolin y a Valinor a la DMZ ?
  2. Decidir a qué VLAN debe pertenecer cada roseta del centro
  3. Especificar el modo en el que se construirán las VLAN sobre los conmutadores físicos
  4. Aplicar las VLAN
  5. Realizar los cambios pertinentes en el DHCP, DNS, Proxy, interficies de red de los servidores y reglas iptables de Galadriel para que la red funcione de acuerdo al nuevo orden