Alta Disponibilidad pfSense

Click here to load reader

  • date post

    23-Oct-2015
  • Category

    Documents

  • view

    141
  • download

    5

Embed Size (px)

description

Proyecto Integrado

Transcript of Alta Disponibilidad pfSense

IES Gran Capitn
Departamento de InformticaCiclo Formativo de Grado Superior de
Administracin de Sistemas InformticosMdulo de Proyecto Integrado - Proyecto: Curso

ndice de contenido1.- Introduccin32.- Objetivos y requisitos del proyecto33.- Estudio previo43.1.- Estado actual43.2.- Estudio de soluciones existentes44.- Plan de trabajo125.- Diseo135.1.- Diseo general135.1.2.- Servidor con pfSense primario (Titn)135.1.3.- Servidor con pfSense secundario (Atlas)135.1.4.- Switch Gigabit135.2.- Diseo detallado145.2.1.- Cableado y configuracin del Switch145.2.2.- pfSense primario (Titn)165.2.3.- pfSense secundario (Atlas)175.2.4.- Mapa de red186.- Implantacin186.1.- Switch Gigabit186.2.-Servidor primario (Titn)206.3.- Servidor Respaldo (Atlas)306.4.-Sincronizacin de los Servidores456.5.- Prueba de Alta Disponibilidad con CARP.517.- Recursos557.1.- Herramientas hardware557.2.- Herramientas software557.3.- Personal567.4.- Presupuesto568.- Conclusiones568.1.- Grado de consecucin de objetivos568.2.- Problemas encontrados568.3.- Futuras mejoras579.- Referencias / bibliografa57

1.- IntroduccinLa utilizacin de los elementos de seguridad tales como cortafuegos o proxies se encargan de asegurar que los recursos de informacin del sistema de una red sean utilizados de la manera en la que se pens, y que el acceso a la informacin all contenida, as como su modificacin, solo sea modificadas por las personas acreditadas y dentro de los lmites de su autorizacin.La red del departamento de informtica del IES Gran Capitn tiene un servidor (Titn) que acta de cortafuegos, el cual, si tiene algn problema, la red entera dejar de funcionar ya que todo el trfico del departamento pasa por ah.

Este proyecto planea proveer de alta disponibilidad de la red del departamento de informtica del IES Gran Capitn implementando un servidor complementario al ya existente y as solucionando este punto de falla.2.- Objetivos y requisitos del proyectoIncrementar la disponibilidad de la red del departamento de informtica eliminando el punto nico de fallo que supone tener un nico dispositivo que comunique la red interna y la red desmilitarizada.Se utilizar un dispositivo embebido (embedded) ya que est diseado para realizar funciones dedicadas con el objetivo de aumentar la disponibilidad.

Se utilizar la distribucin de cortafuegos pfSense.

Existir comunicacin entre el cortafuegos maestro y el nuevo dispositivo.

Existir una conexin de respaldo entre las dos mquinas.

3.- Estudio previo3.1.- Estado actualActualmente la red del departamento de informtica del IES Gran Capitn tiene un cortafuegos con servicios de red llamado Titn, que actualmente tiene 3 tarjetas de red. Adems separa la red interna de la red desmilitarizada. Este cortafuegos con servicios de red (Titn) tiene instalado pfSense que es una distribucin de firewall y Router basada en FreeBSD.Esta mquina (Titn) ofrece los siguientes servicios:Servidor proxy Squid: servidor proxy y dominio cache para pginas web.Portal Cautivo: De forma que los usuarios necesiten autenticarse con usuario y contrasea para poder conectarse a la red, estas sesiones duran un tiempo, al acabarse ese tiempo se debe de volver a autenticar.Sarg (Squid Analysis Report Generator): permite generar reportes sobre la actividad de todos los usuarios dentro de la red de rea local.DNS Cach: un respaldo o registro de las direcciones IP de las pginas web visitadas, estas son almacenadas en el ordenador, a fin de realizar la traduccin mas rpida se usa este registro interno.

DHCP: es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente.

La red est dividida en VLANs de las cuales en la VLAN 12 se encuentra ubicado un servidor de mquinas virtuales (Jupiter), que va conectado a travs de un switch a Titn, adems de un punto de acceso el cual provee de internet a la red.

3.2.- Estudio de soluciones existentesSoluciones HardwareFujitsu Siemens Futro S550

fujitsu-futro-s550_ipgh3w0582918.jpgEspecifiacionesProcesador: M690E 2.1GHz

Grfica: Radeon X1250

Almacenamiento: 4GB

Memoria RAM: 2GB DDR2

Puertos RJ-45: 1

Puertos USB: 8

Ventajas8 puertos USB (Se pueden utilizar para pinchar tarjetas Ethernet-USB)

2GB de memoria RAM

Procesador M690E 2.1GHz el cual da un muy buen rendimiento.

Ya se dispone de la mquina.

Puerto interno PCI para poder ponerle una tarjeta de red.

InconvenientesSolo tiene 1 puerto RJ-45

ALIX.2D3 / 2D13 Kit Black Unassembled

KIT-2D13-BLACK-U.jpgTodos los componentes Hardware que necesitas para montar clientes ligeros, routers inalmbricos, firewalls, dispositivos de red de propsito especial

ComponentesPlaca Base: ALIX.2D13 system board3 Ethernet channels, 1 mini PCI slots, 1 serial port (console), USB

CPU: 500 MHz AMD Geode LX800 CPU

DRAM: 256MB DDR DRAM

Firmware: tinyBIOS

SO: Definido por el usuario. FreeBSD, m0n0wall, Linux, y varios SO comerciales son posibles.

Expansion: 1 miniPCI slots, LPC bus

Conectividad: 3 canales Ethernet (Via VT6105M 10/100)

I/O: DB9 serial port, dual USB port

Blank 4 GB Industrial SLC CF Card

Ventajas3 puertos RJ-45

1 slot mPCI para pinchar una tarjeta de red

Inconvenientes Poca memoria RAM (256MB)

No viene montada

El centro no dispone de la mquina.

Phoenix IT-100 pfSense Appliance

it-100.jpgPhoenix IT-100 pfSense Appliance es un sistema completo de defensa personal, con el apoyo de firewalls comerciales - hasta el nivel de gestin de amenazas no identificado (UTM). El sistema proporciona una fuerte firewall seguridad perimetral junto a las capacidades adicionales de UTM. Es un sistema pequeo sistema, atractivo, que opera tranquilamente, sin ventilador, y encaja perfectamente en una oficina sin necesidad de una sala de equipos.

Especificaciones

Procesador TM5600, 500MHz

128 MB SDRAM SO-DIMM

32MB Compact Flash

20GB EIDE 2.5 HardDrive slot

1x WAN Ethernet 10/100Mbps

1x LAN (4-Port Switch Hub)

Wireless Intersil Access pount 802.11b (Mini-PCI)

pfSense OS

Ventajas 5 puertos RJ-45.

Se puede usar de punto de acceso.

Viene instalado pfSense.

Inconvenientes Poca memoria RAM (128MB) lo mnimo para pfSense, ira bastante mal.

32MB Compact Flash, poca capacidad de almacenamiento.

El centro no dispone de esta mquina

Netgate FW-525B

Netgate FW- 525B es un es una aplicacion de red plug-and-play mini-ITX basada en la plataforma que ofrece la flexibilidad de pfSense . Netgate FW- 525B se puede configurar como firewall , LAN o WAN router, VPN , servidor DHCP , Servidor DNS , o para otro propsito especial. Esta pequea caja sin ventilador es ideal para aplicaciones comerciales o industriales de red que requieren velocidades de Gigabit Ethernet. Se incluyen soportes para apoyarlo, estantera o montaje en pared. Este sistema tambin cuenta con cuatro puertos USB , un puerto VGA, dos puertos COM , y dos ranuras para tarjetas MiniPCIe . La segunda ranura para tarjetas miniPCIe tambin puede admitir tarjetas mSATA para , almacenamiento de estado slido rpido.

Caractersticas:Incluye pfSense , un poderoso , libre, firewall de cdigo abierto.

Diseo sin ventilador de forma que no hay partes mviles que puedan fallar .

Baja potencia , pequea plataforma diseada con la velocidad y la flexibilidad en mente, teniendo en cuenta la reduccin de coste de la electricidad

Cuatro puertos Gigabit Ethernet integrados con el procesador Intel Atom proporcionan una slida plataforma para la implementacin de seguridad de primera lnea, donde la fiabilidad y la disponibilidad son de importancia fundamental.

Especificaciones:Procesador: INTEL Atom Pine Trail-D Processor D525

Chipset: INTEL ICH8M Express chipset

Memoria RAM: 2GB DDR3 800/667MHz Single CH

Grfica: INTEL GMA3150 Integrated Graphics

OS Supported: pfSense (FreeBSD)

Networking: 4 GbE ports

Networking Chipset: Realtek RTL8111EVL

Almacenamiento: One 2.5" SATA II HDD drive bay (3 Gb/s), commercial grade HDD only. One mSATA slot, 1 CF socket

Consola: 2 COM ports, 1 VGA Port

USB: 4 USB 2.0 ports

Ventajas4 puertos RJ-45.

1 socket para mSATA.

4 puertos USB.

InconvenientesEs bastante cara.

El centro no dispone de esta mquina.

Mars II OpenBrick-M D525 pfSense Appliance

Mars OpenBrick-M D525 pfSense Appliance. 1.8Ghz de Intel D525. 2 GB de memoria DDR3. Cuatro Gigabit Ethernet (4 x RTL8111EVL), ampliable a ocho (8) Gigabit Ethernet (4 x 4 x RTL8111EVL y RTL8111C). Cortafuegos de inspeccin. 20-250 usuarios. Hasta 500.000 conexiones simultneas. 45 hasta 87 Mbps de VPN, rendimiento con IPSec.EspecificacionesIntel 1.8Ghz Dual-Core Atom D525

2GB RAM ampliable a 8GB

Almacenamiento: 2GB

Four (4) Gigabit Ethernet Ports:

4 x Realtek RTL8111EVL

4 x Realtek RTL8111C opcionales de un total de ocho Gigabit Ethernet

Multi-WAN para balanceo de carga, redundancia y failover

64-bit (AMD64) pfSense 2.1 Stable Release firmware

VentajasProcesador Intel 1.8Ghz Dual-Core Atom D525 el cual da muy buen rendimiento.

4 puertos RJ-45.

2GB de memoria RAM.

InconvenientesPoca capacidad de almacenamiento 2GB.

Es bastante cara.

El centro no dispone de esta mquina.

Alta DisponibilidadModo ManualInstalacin de la mquina pfSense manteniendo la misma configuracin actual, de modo que al caer la mquina principal haya que colocar manualmente la segunda mquina.

VentajasForma de solucionar el punto de falla.

InconvenientesEst pensado par