IES Gran Capitn
Departamento de InformticaCiclo Formativo de Grado Superior de
Administracin de Sistemas InformticosMdulo de Proyecto Integrado - Proyecto: Curso

ndice de contenido1.- Introduccin32.- Objetivos y requisitos del proyecto33.- Estudio previo43.1.- Estado actual43.2.- Estudio de soluciones existentes44.- Plan de trabajo125.- Diseo135.1.- Diseo general135.1.2.- Servidor con pfSense primario (Titn)135.1.3.- Servidor con pfSense secundario (Atlas)135.1.4.- Switch Gigabit135.2.- Diseo detallado145.2.1.- Cableado y configuracin del Switch145.2.2.- pfSense primario (Titn)165.2.3.- pfSense secundario (Atlas)175.2.4.- Mapa de red186.- Implantacin186.1.- Switch Gigabit186.2.-Servidor primario (Titn)206.3.- Servidor Respaldo (Atlas)306.4.-Sincronizacin de los Servidores456.5.- Prueba de Alta Disponibilidad con CARP.517.- Recursos557.1.- Herramientas hardware557.2.- Herramientas software557.3.- Personal567.4.- Presupuesto568.- Conclusiones568.1.- Grado de consecucin de objetivos568.2.- Problemas encontrados568.3.- Futuras mejoras579.- Referencias / bibliografa57

1.- IntroduccinLa utilizacin de los elementos de seguridad tales como cortafuegos o proxies se encargan de asegurar que los recursos de informacin del sistema de una red sean utilizados de la manera en la que se pens, y que el acceso a la informacin all contenida, as como su modificacin, solo sea modificadas por las personas acreditadas y dentro de los lmites de su autorizacin.La red del departamento de informtica del IES Gran Capitn tiene un servidor (Titn) que acta de cortafuegos, el cual, si tiene algn problema, la red entera dejar de funcionar ya que todo el trfico del departamento pasa por ah.

Este proyecto planea proveer de alta disponibilidad de la red del departamento de informtica del IES Gran Capitn implementando un servidor complementario al ya existente y as solucionando este punto de falla.2.- Objetivos y requisitos del proyectoIncrementar la disponibilidad de la red del departamento de informtica eliminando el punto nico de fallo que supone tener un nico dispositivo que comunique la red interna y la red desmilitarizada.Se utilizar un dispositivo embebido (embedded) ya que est diseado para realizar funciones dedicadas con el objetivo de aumentar la disponibilidad.

Se utilizar la distribucin de cortafuegos pfSense.

Existir comunicacin entre el cortafuegos maestro y el nuevo dispositivo.

Existir una conexin de respaldo entre las dos mquinas.

3.- Estudio previo3.1.- Estado actualActualmente la red del departamento de informtica del IES Gran Capitn tiene un cortafuegos con servicios de red llamado Titn, que actualmente tiene 3 tarjetas de red. Adems separa la red interna de la red desmilitarizada. Este cortafuegos con servicios de red (Titn) tiene instalado pfSense que es una distribucin de firewall y Router basada en FreeBSD.Esta mquina (Titn) ofrece los siguientes servicios:Servidor proxy Squid: servidor proxy y dominio cache para pginas web.Portal Cautivo: De forma que los usuarios necesiten autenticarse con usuario y contrasea para poder conectarse a la red, estas sesiones duran un tiempo, al acabarse ese tiempo se debe de volver a autenticar.Sarg (Squid Analysis Report Generator): permite generar reportes sobre la actividad de todos los usuarios dentro de la red de rea local.DNS Cach: un respaldo o registro de las direcciones IP de las pginas web visitadas, estas son almacenadas en el ordenador, a fin de realizar la traduccin mas rpida se usa este registro interno.

DHCP: es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente.

La red est dividida en VLANs de las cuales en la VLAN 12 se encuentra ubicado un servidor de mquinas virtuales (Jupiter), que va conectado a travs de un switch a Titn, adems de un punto de acceso el cual provee de internet a la red.

3.2.- Estudio de soluciones existentesSoluciones HardwareFujitsu Siemens Futro S550

fujitsu-futro-s550_ipgh3w0582918.jpgEspecifiacionesProcesador: M690E 2.1GHz

Grfica: Radeon X1250

Almacenamiento: 4GB

Memoria RAM: 2GB DDR2

Puertos RJ-45: 1

Puertos USB: 8

Ventajas8 puertos USB (Se pueden utilizar para pinchar tarjetas Ethernet-USB)

2GB de memoria RAM

Procesador M690E 2.1GHz el cual da un muy buen rendimiento.

Ya se dispone de la mquina.

Puerto interno PCI para poder ponerle una tarjeta de red.

InconvenientesSolo tiene 1 puerto RJ-45

ALIX.2D3 / 2D13 Kit Black Unassembled

KIT-2D13-BLACK-U.jpgTodos los componentes Hardware que necesitas para montar clientes ligeros, routers inalmbricos, firewalls, dispositivos de red de propsito especial

ComponentesPlaca Base: ALIX.2D13 system board3 Ethernet channels, 1 mini PCI slots, 1 serial port (console), USB

CPU: 500 MHz AMD Geode LX800 CPU

DRAM: 256MB DDR DRAM

Firmware: tinyBIOS

SO: Definido por el usuario. FreeBSD, m0n0wall, Linux, y varios SO comerciales son posibles.

Expansion: 1 miniPCI slots, LPC bus

Conectividad: 3 canales Ethernet (Via VT6105M 10/100)

I/O: DB9 serial port, dual USB port

Blank 4 GB Industrial SLC CF Card

Ventajas3 puertos RJ-45

1 slot mPCI para pinchar una tarjeta de red

Inconvenientes Poca memoria RAM (256MB)

No viene montada

El centro no dispone de la mquina.

Phoenix IT-100 pfSense Appliance

it-100.jpgPhoenix IT-100 pfSense Appliance es un sistema completo de defensa personal, con el apoyo de firewalls comerciales - hasta el nivel de gestin de amenazas no identificado (UTM). El sistema proporciona una fuerte firewall seguridad perimetral junto a las capacidades adicionales de UTM. Es un sistema pequeo sistema, atractivo, que opera tranquilamente, sin ventilador, y encaja perfectamente en una oficina sin necesidad de una sala de equipos.

Especificaciones

Procesador TM5600, 500MHz

128 MB SDRAM SO-DIMM

32MB Compact Flash

20GB EIDE 2.5 HardDrive slot

1x WAN Ethernet 10/100Mbps

1x LAN (4-Port Switch Hub)

Wireless Intersil Access pount 802.11b (Mini-PCI)

pfSense OS

Ventajas 5 puertos RJ-45.

Se puede usar de punto de acceso.

Viene instalado pfSense.

Inconvenientes Poca memoria RAM (128MB) lo mnimo para pfSense, ira bastante mal.

32MB Compact Flash, poca capacidad de almacenamiento.

El centro no dispone de esta mquina

Netgate FW-525B

Netgate FW- 525B es un es una aplicacion de red plug-and-play mini-ITX basada en la plataforma que ofrece la flexibilidad de pfSense . Netgate FW- 525B se puede configurar como firewall , LAN o WAN router, VPN , servidor DHCP , Servidor DNS , o para otro propsito especial. Esta pequea caja sin ventilador es ideal para aplicaciones comerciales o industriales de red que requieren velocidades de Gigabit Ethernet. Se incluyen soportes para apoyarlo, estantera o montaje en pared. Este sistema tambin cuenta con cuatro puertos USB , un puerto VGA, dos puertos COM , y dos ranuras para tarjetas MiniPCIe . La segunda ranura para tarjetas miniPCIe tambin puede admitir tarjetas mSATA para , almacenamiento de estado slido rpido.

Caractersticas:Incluye pfSense , un poderoso , libre, firewall de cdigo abierto.

Diseo sin ventilador de forma que no hay partes mviles que puedan fallar .

Baja potencia , pequea plataforma diseada con la velocidad y la flexibilidad en mente, teniendo en cuenta la reduccin de coste de la electricidad

Cuatro puertos Gigabit Ethernet integrados con el procesador Intel Atom proporcionan una slida plataforma para la implementacin de seguridad de primera lnea, donde la fiabilidad y la disponibilidad son de importancia fundamental.

Especificaciones:Procesador: INTEL Atom Pine Trail-D Processor D525

Chipset: INTEL ICH8M Express chipset

Memoria RAM: 2GB DDR3 800/667MHz Single CH

Grfica: INTEL GMA3150 Integrated Graphics

OS Supported: pfSense (FreeBSD)

Networking: 4 GbE ports

Networking Chipset: Realtek RTL8111EVL

Almacenamiento: One 2.5" SATA II HDD drive bay (3 Gb/s), commercial grade HDD only. One mSATA slot, 1 CF socket

Consola: 2 COM ports, 1 VGA Port

USB: 4 USB 2.0 ports

Ventajas4 puertos RJ-45.

1 socket para mSATA.

4 puertos USB.

InconvenientesEs bastante cara.

El centro no dispone de esta mquina.

Mars II OpenBrick-M D525 pfSense Appliance

Mars OpenBrick-M D525 pfSense Appliance. 1.8Ghz de Intel D525. 2 GB de memoria DDR3. Cuatro Gigabit Ethernet (4 x RTL8111EVL), ampliable a ocho (8) Gigabit Ethernet (4 x 4 x RTL8111EVL y RTL8111C). Cortafuegos de inspeccin. 20-250 usuarios. Hasta 500.000 conexiones simultneas. 45 hasta 87 Mbps de VPN, rendimiento con IPSec.EspecificacionesIntel 1.8Ghz Dual-Core Atom D525

2GB RAM ampliable a 8GB

Almacenamiento: 2GB

Four (4) Gigabit Ethernet Ports:

4 x Realtek RTL8111EVL

4 x Realtek RTL8111C opcionales de un total de ocho Gigabit Ethernet

Multi-WAN para balanceo de carga, redundancia y failover

64-bit (AMD64) pfSense 2.1 Stable Release firmware

VentajasProcesador Intel 1.8Ghz Dual-Core Atom D525 el cual da muy buen rendimiento.

4 puertos RJ-45.

2GB de memoria RAM.

InconvenientesPoca capacidad de almacenamiento 2GB.

Es bastante cara.

El centro no dispone de esta mquina.

Alta DisponibilidadModo ManualInstalacin de la mquina pfSense manteniendo la misma configuracin actual, de modo que al caer la mquina principal haya que colocar manualmente la segunda mquina.

VentajasForma de solucionar el punto de falla.

InconvenientesEst pensado para que sea de forma manual y no automatica.

No distribuye trfico de red.

Modo RespaldoInstalacin de la mquina de modo que al tener algn fallo en la mquina principal (Titn) se levante automticamente la segunda mquina.

CARP es un mdulo de pfSense el cual permite implementar alta disponibilidad entre dos mquinas con pfSense dentro de una misma red.Protocolo de redundancia de direccin comn (Common Address Redundancy Protocol) CARP, el cual permite que mltiples host en una red compartan un direccin comun. As dos o ms firewalls pueden ser configurados como un grupo de conmutacin por error (failover group). Si una de las interfaces falla en el firewall primario o por alguna razn deja de reponder, el firewall secundario toma el control de las operaciones y se declara como primario. pfSense tambin sincroniza la configuracin hacha en el firewall primario a todos los miembros del grupo. Pfsync: asegura que la tabla de estado sea replicado a todos los firewall dentro del grupo de conmutacin por error, el cual es importante para prevenir las interrupciones de servicios.

VentajasForma eficaz de solucionar el punto de falla.

Es automtico, es decir en caso de que caiga la mquina principal, la segunda mquina se levanta sola.

InconvenientesNo distribuye trfico de red.

Solucin ElegidaLa solucin elegida es utilizar la mquina propuesta por el instituto (Fujitsu Futro S550) que es un sistema embebido, el cual est diseado para realizar funciones dedicadas y la cual tiene un buen procesador y bastante memoria RAM por lo que da un muy buen rendimiento, el nico inconveniente a primera vista ha sido el nico puerto RJ-45 del cual dispone la mquina, pero esto se ve solventado mediante una configuracon con VLANs.Esta configuracin se basa en aadir unas VLANs nuevas al switch conectado a Titn y configurarlas con una nueva configuracin de pfSense que ir instalada en la nueva mquina.Se conectarn las dos mquinas con pfSense a travs de VLANs manteniendo una configuracin de respaldo.Se ha elegido esta mquina (Fujitsu Futro S550) principalmente porque el centro ya dispona de ella y el rendimiento que ofrece es muy bueno.En cuanto a Alta Disponibilidad se ha optado por modo de Respaldo, es decir, estar la mquina principal (Titn) funcionando y en caso de que falle automaticamente la otra mquina (Atlas) pasar a tomar el control de la red. Esta configuracin es posible gracias a un mdulo de pfSense llamado CARP. Este mdulo se implementara por medio de una VLAN ya que la mquina solo dispone de un puerto RJ-45 por lo que no se puede conectar fisicamente (con un cable ethernet) con Titn.

4.- Plan de trabajoSemanaTrabajo Realizado

23/09/13Recopilacion de informacion sobre el proyecto.

30/09/13Recopilacin de informacion sobre objetivos, requisitos y herramientas hardware para el proyecto.

07/10/13Correccin de los objetivos, requisitos y estado actual.

14/10/13Correccin de los objetivos, requisitos y estado actual. Aadir pros y contras en soluciones existentes.

21/10/13Revisin del proyecto en el centro para concretar y avanzar el proyecto.

28/10/13Busqueda de soluciones alternativas para implementacin del proyecto.

04/11/13Correccin de solucin elegida basada en nuevas investigaciones.

11/11/13Relacionar requisitos con solucin propuesta. Construccin de diseo general.

18/11/13Correccion de diseo general, incluir esquema. Construccin diseo detallado.

25/11/13Implementacin del proyecto en el centro. Correccin de diseo detallado.

02/12/13Ajuste del proyecto en el centro.

5.- Diseo5.1.- Diseo general

5.1.2.- Servidor con pfSense primario (Titn) Configuracin con CARP.

Creacin de VLAN 12 y VLAN 13.

Creacin de virtual ip para sincronizacin mediante CARP con Atlas.

Cambio de puerta de enlace y direccin de DNS del servidor DHCP a la virtual ip correspondiente.

5.1.3.- Servidor con pfSense secundario (Atlas)

Dispondr de 1 tarjeta de red.

Se configurar una conexin de respaldo entre las dos mquinas mediante CARP.

Heredar las virtual ip mediante la sincronizacin con CARP.

5.1.4.- Switch Gigabit

Conectado a la nueva mquina.

Creacin de VLAN 12, VLAN 13.

El switch presentar diversas VLANs mediante la cual se conectarn las dos mquinas.

5.2.- Diseo detallado5.2.1.- Cableado y configuracin del Switch

Estado previo del switch.PuertoVLANEstado

1112SWITCH 112

2113SWITCH 113

3114SWITCH 114

4115SWITCH 115

5116SWITCH 116

6112-116TITAN

7112-116VACIO

8112-116VACIO

9112-116VACIO

10112-116VACIO

1112ROUTER ADSL

1212JUPITER

1312TITAN

1412VACIO

1512VACIO

161RESERVADO ADMON

Nueva configuracin del switch.

PuertoVLANEstado

1112SWITCH 112

2113SWITCH 113

3114SWITCH 114

4115SWITCH 115

5116SWITCH 116

6112-116/14TITAN

7112-116/12-13-14ATLAS

8112-116VACIO

9112-116VACIO

10112-116VACIO

1112ROUTER ADSL

1212JUPITER

1312TITAN

1413TITAN

1513DACE

161RESERVADO ADMON

5.2.2.- pfSense primario (Titn)

Se crearn virtual ip para la sincronizacin con la mquina secundaria (Atlas).Una virtual ip es una direccin ip asignada a multiples dominios o servidores que comparten una direccin ip basados en una sola tarjeta de red.Creacin Virtual ip para la red:WAN: 192.168.12.11VLAN 112: 192.168.112.252VLAN 113: 192.168.10.252VLAN 114: 192.168.114.252VLAN 115: 192.168.115.252VLAN 116: 192.168.116.252VLAN 13: 192.168.13.11

Se configurar el mdulo CARP mediante la etiqueta pfSync la cual sincroniza la tabla de estados entre todos los cortafuegos. En caso de que se produzca una conmutacin, el trfico puede fluir sin interrupcin a travs del nuevo cortafuegos maestro.

5.2.3.- pfSense secundario (Atlas)

Configuracin con la VLAN 12-13 creada previamente en el switch las cuales sirven para proveer acceso a una zona de la red la cual no se podra acceder si no existiesen.Se importar la configuracin exportada previamente de la mquina principal (Titn) desactivando los siguientes servicios para mayor rendimiento, ya que estos servicios consumen mucha memoria ram y cpu por lo que el rendimiento de la mquina se vera afectado.

Servicio Proxy (squid).

Generador de reportes de Squid (sarg).

5.2.4.- Mapa de red

6.- Implantacin6.1.- Switch GigabitCrear VLAN 13 con los puertos 7 de tipo TRUNK y TAGGED y los puertos 14 y 15 de tipo ACCESS y UNTAG

Comprobamos que la configuracin de los puertos est correcta.

6.2.-Servidor primario (Titn)Vamos a Interfaces > (Assing) > VLANs y creamos las VLAN 12 y VLAN 13.

Ahora creamos las Virtual ip, para ellos nos vamos a Firewall > Virtual Ip y creamos una Virtual ip para la red WAN, WAN2 y cada una de las VLANs.

Las virtual ip se crearn de tipo CARP (ya que se van a utilizar para este mdulo), se les asignar una ip correspondiente a la tarjeta de red elegida.Cada Virtual ip pertenecer a un grupo VIHD distinto ya que se crean para interfaces de red diferentes.El nmero de frecuencia indica que mquina se considerar como maestro y cual como esclavo. El nmero mas bajo se considera MASTER mientras que un nmero alto indica que actuar como BACKUP.

Comprobamos que se han creado correctamente.

Una vez creadas las virtual ip, cambiar en Services > DHCP Server las gateway de todas las VLANs para que utilizen la virtual ip como puerta de enlace e indicarle la direccin del servidor DNS a utilizar para cada una de las VLANs.

6.3.- Servidor Respaldo (Atlas)Instalacin de pfSense en un Pendrive que actuar como disco duro.Arrancamos el USBLive y nos sale esta pantalla. Marcamos el 3 ya que se va a instalar en una unidad USB.

En la instalacin nos dice que configuracin de video y mapa de teclado queremos. Lo dejamos por defecto y hacemos click en la opcin Accept these Settings .

Elegimos la opcin Install PfSense para instalar la distribucin.

Seleccionamos la unidad donde vamos a instalar pfSense.

Formateamos el pendrive para poder instalar pfSense.

Le decimos que va a utilizar la geometra por defecto.

Se formatea la nueva unidad.

Particionamos la unidad.

Le decimos los sectores a formatear, tipo de particin (FreeBSD) y marcamos la particin como activa. Seleccionamos a contiuacin Accept and Create.

Seleccionamos que queremos particionar el disco duro.

Nos dice que ha sido particionado satisfactoriamente.

Instalamos BootBlock para que pfSense pueda iniciar.

Nos dice que se ha instalado correctamente.

Seleccionamos la particin de pfSense.

Formateamos la particin de pfSense.

Nos dice que se ha formateado satisfactoriamente.

Creamos una particin de swap de 2Gb la cual montaremos en la raz. Seleccionamos Accept and Create para crearla.

Una vez que hemos terminado nos dice que si queremos reiniciar. Seleccionamos Reboot.

Antes de reiniciar nos dice el usuario y contrasea por defecto para acceder a la interfaz web.

Una vez que ha reiniciado nos muestra las interfaces que el equipo de pfSense. Nos pregunta si queremos crear VLAN. Le decimos que no, ya que al importar la configuracin se van a borrar.

Ahora le decimos que interfaz queremos utilizar para WAN y cual para LAN.

Le decimos que queremos confirmar la asignacin de las interfaces.

Nos saldr el panel de pfsense.

Nos conectamos con otra mquina mediante la red LAN para configurar pfSense de manera grfica y cargamos la configuracin previamente exportada del servidor maestro (Titn).

6.4.-Sincronizacin de los ServidoresUna vez ya importada la configuracin en Atlas procedemos a sincronizar los estado con pfsync.

Le indicamos que interfaz va a utilizar para sincronizar y le ponemos tambien el usuario y la contrasea del administrador para que pueda sincronizar.

Le indicamos los servicios que hay que sincronizar.

Le damos a salvar y comprobamos que ha puesto el servidor primario (Titn) como maestro.

Ahora nos vamos al servidor de respaldo (Atlas) y miramos que haya cogido automticamente las Virtual ip y que el estado de CARP sea de BACKUP.

Primero vemos las virtual ip.

Ahora comprobamos que el mdulo de CARP est como BACKUP en cada una de las Virtual ip.

6.5.- Prueba de Alta Disponibilidad con CARP.Desconectamos Titn temporalmente y vemos que la mquina de respaldo (Atlas) ha tomado el control.

Ahora renovamos la concesin con un ipconfig /renew en un cliente y comprobamos que tenemos una direccin ip y que la puerta de enlace es la virtual ip.

Comprobamos que hay trfico de paquetes.

Tambin podemos ver una grfica de la cantidad de paquetes que se han perdido desde que la nueva mquina (Atlas) ha tomado el control.

7.- Recursos7.1.- Herramientas hardware

Fujitsu Futro s550

EspecifiacionesProcesador: M690E 2.1GHz

Grfica: Radeon X1250

Almacenamiento: 4GB

Memoria RAM: 2GB DDR2

Puertos RJ-45: 1

Puertos USB: 8

7.2.- Herramientas software

PfSense

pfSense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin. Est software permite crear varias VLAN, realizar filtrado de MAC, crear VPN, hacer balanceo de carga, configurar portal cautivo etc. 7.3.- Personal7.4.- Presupuesto

8.- Conclusiones8.1.- Grado de consecucin de objetivosImplementar Alta disponibilidad en la red del departamento de informtica.

TOTALMENTE TERMINADO.8.2.- Problemas encontradosLa mquina de respaldo no tena unidad de memoria por lo que se ha instalado pfSense en un pendrive.Fallo de lectura y escritura en la unidad de almacenamiento (pendrive) hubo que reinstalar pfSense en otro pendrive. Problema con la sincronizacin entre las dos mquinas. Al final se ha utilizado la VLAN 113 para la sincronizacin ya que no afecta al estado de la red.

8.3.- Futuras mejorasCambiar el pendrive por un disco duro o por una unidad de alta velocidad para aumentar el rendimiento del panel administrativo.Ampliacin de memoria ram y de capacidad de almacenamiento para poder instalar servicios como Squid y Sarg.9.- Referencias / bibliografahttp://www.onyougo.es/fujitsu-futro-s550-tablets-pc-caracteristicas_pi205947e2http://store.netgate.com/ALIX2D3-2D13-Kit-Black-Unassembled-P172C82.aspxhttp://www.hacom.net/catalog/phoenix-it-100-pfsense-appliancehttp://store.netgate.com/Netgate-FW-525B-P1919C83.aspxhttp://www.hacom.net/catalog/mars-ii-openbrick-m-d525-pfsense-appliancehttp://www.bellera.cat/josep/pfsense2/CARP_pfSense.pdfhttp://www.howtoforge.com/how-to-configure-a-pfsense-2.0-cluster-using-carp

https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_%28CARP%29http://pfsensesetup.com/pfsense-wake-on-lan/

http://www.covetel.com.ve/productos/pfsense.html

http://www.openbsd.org/faq/pf/es/carp.html#pfsyncop

IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710
http://www.iesgrancapitan.org http://www.iesgrancapitan.org/blog04 -- informatica@iesgrancapitan.org