actualidad servicios rediris · 2017. 11. 29. · sobre la actualización del servicio l la nueva...
Post on 30-Aug-2020
13 Views
Preview:
TRANSCRIPT
ActualidadServiciosRedIRISGruposdeTrabajo
Madrid,29deNoviembrede2017
ConectividadRedIRIS
Catálogodeservicios
RedIRIS- laredacadémicaydeinvestigaciónespañola 3
Circuitosópticos10G
VPNL2VPNL2Múltiple
IRIS-IPIRIS-TICKETSIRIS-DNS
AnálisisderendimientoInformesyControlLookingglassTestvelocidad
Pordefectoalconectar
IPv4– IPv6
Hosting- delegación- secundario
Bajodemanda
Conectividad
IntranetacadémicaydelainvestigaciónAccesoalaInternetGlobalGestióndeincidenciasdeRed(IRIS-NOC)
ServiciodedireccionamientoIPServicioDNS
ServicioIPv6ServiciodedistribucióndecontenidosMulticastServiciodesincronizaciónhorariodeequipos
RedesPrivadas
CircuitosvirtualesCircuitosópticos
OPS(24x7)NOC(8x5)
NovedadesServicioDNS
RedIRIS- laredacadémicaydeinvestigaciónespañola 4
• NuevoServicio“HostingDNS”(http://www.rediris.es/dns/hosting-dns.html)• Permitelacreación,mantenimientoypublicacióndezonasDNSenlosservidoresdeRedIRIS• AtravésdeIRISDNS,lasinstitucionespodrándardealtanuevaszonas,editarlasodarlasdebaja
– Elcontenidodelazonaesexclusivamenteresponsabilidaddelainstitución,yaunquelaszonassecreanconunosregistrospordefecto,esposibledardealtaymodificarcualquierdeellos.
• HerramientadegestióndeservicioIRISDNS(http://www.rediris.es/dns/irisdns.html)• Herramientaweb.AutenticaciónyautorizaciónmedianteSIR.• Permitealasinstitucionesautogestionar losserviciosDNSproporcionadosporRedIRIS
– Hosting– Secundario– Delegación– Altas,bajas,modificaciones.– Publicacióndenuevosdominios
• Cambiosimplementadosinmediatamente.• Mantieneunregistrodelasoperacionesrealizadas.• Permiteejecutarcambiosindividualesomasivos.
Géant CloudIaaS Framework“TOWARDSTHECLOUDSTOGETHER”
AntonioSaraviaantonio.saravia@rediris.es@asaraviag
Géant CloudIaaS Framework
RedIRIS- laredacadémicaydeinvestigaciónespañola 6
• ContratomarcodisponibleyenusoentodaEuropa• “TowardsPan-EuropeanCloudServices”(https://www.youtube.com/watch?v=wujP8WFKXlo)
• Múltiplesbeneficios:• Ahorrodecostes(descuentosyreducciónsignificativadeloscostesdetráfico)• Agilidad(licitaciónconjuntayarealizadaporGÉANT)• Cumplimientodelanormativaeuropeasobreseguridadyproteccióndedatos• Iniciodesesiónúnico(SSO)conlascredencialespropiasdecadainstituciónatravésdelserviciodeFederacióndeidentidadesdeRedIRIS(SIR- eduGAIN)
• Conexionesoptimizadas(Direct peering)conlosproveedorescloud• YaenusoenEspaña:16instituciones,principalmenteprivadas,yaseestán
beneficiando.Situaciónde“stand-by”enlasinstitucionespúblicas• ContratoMarcoapoyadoenlaDirectivaeuropea2014/24/UEsobrecontrataciónpública.
PorfinseaprobóenelCongresolanuevaLCSPdondesetransponeestaDirectiva.
Proveedores Cloud paraEspaña
RedIRIS- laredacadémicaydeinvestigaciónespañola 7
OnlineCloud Catalogue:IaaS servicematrix (https://catalogue.geant.org/reports/)
RedIRIS- laredacadémicaydeinvestigaciónespañola 8
mailto:cloud-sdms@rediris.es
"david rincon"<david.rincon@imdea.org>;
Serviciosmiddleware
Serviciosmiddleware
● SIR§ SIR-CL@ve§ O365
● Eduroam● TCS● AE:
§ IRIS-SARA§ NISUE
● Monitorización● Herramientasadicionales:
§ Registro deidentificadores digitales§ Repositorio deréplicas
10
ServicioSIR:Federacióndeidentidades
11MiddlewareyAplicaciones
ServicioSIR:Federacióndeidentidades
12MiddlewareyAplicaciones
MigraciónSIR->SIR2
13
1Contacta
do45%
1pendient
e2%
1trabajan
do5%
2Contacta
do10%
2Finalizad
o1%
3Contacta
do18%
3trabajan
do8%
3finalizad
a11%
1Contactado
38%
1pendiente0%
1trabajando
2%2Contactado
3%2Finalizado
0%
3Contactado
20%
3trabajando
8%
3finalizada29%
Junio2017 Noviembre2017
Nuevoapoyoparaaceleraresteproceso
SIR
● Integraciónconcl@ve§ PermitequelosproveedoresdeservicioSIRpuedanusarcl@ve
comoIdP§ Enpro7,enpre19
● IntegraciónO365§ PermiteutilizarSIRcomomecanismoparaautenticarcontrao365§ DesarrolladoporMicrosoftconelsoportedeRedIRIS§ USyUPM
14
Serviciodemovilidadeduroam
● Servicioglobalderoamingparainstitucionesacadémicasycientíficas
● Despliegueen37paísesdelaUE,ademásdeEEUU,CanadáyAsia-Pacífico
● EnEspaña,desplegadomasivamentegraciasalprogramaCampusenReddered.es
● Estadísticas(2017):§ 141institucionesconectadasenEspaña§ >25millonesdeautenticacionesprocesadasalmes
MiddlewareyAplicaciones 15
eduroam
VisitadeMINECOaRedIRIS 16
Serviciodemovilidadeduroam
MiddlewareyAplicaciones 17
● Vídeodivulgativodeeduroam§ Másde47.000visitasenyoutube§ Coste<1.000€(desarrollointernacional,adaptadoaEspaña)
RedSARA
Ministerios
CC.AA.
Ayuntamientos
ServicioIRIS-SARA
18
● RedIRIScomoProveedordeAccesoaSARAparauniversidades,OPISeICTSs● Racionalizacióndeinfraestructurasygestióndeaccesos
MiddlewareyAplicaciones
RedIRIS
Sobreelserviciodecertificadosdigitales
RedIRIS- laredacadémicaydeinvestigaciónespañola
19
Desdeelaño2006,RedIRISproporcionaasusinstitucionesafiliadasunserviciograciasalcualpuedensolicitar,sincosteparaellas,múltiplestiposdecertificadosdigitales(deservidor,personales,defirmadecódigo,dee-Ciencia,…)emitidosporentidadesreconocidasaescalaglobal
Certificadosdigitales– serviciosproporcionados
RedIRIS- laredacadémicaydeinvestigaciónespañola
20
• pkIRISGrid (finalización)• 12añosdeexistencia(2005-2017)• 50autoridadesderegistro(RAs)• 180operadoresdeRAs• Casi10.000certificadosemitidos
• TCS• Desdemitadde2015• 170institucionesparticipantes• Másde11.000certificadosemitidos
• Másde800sondeperfilesGrid (e-Ciencia)
Certificadosdigitales– Elementosdecoordinación
RedIRIS- laredacadémicaydeinvestigaciónespañola
21
• pkIRISGrid (finalización)• TCS
• https://www.rediris.es/tcs• Soporte
• tcs@rediris.es• Listadeadministradoresdelservicioenlasinstituciones
• tcs-user@listserv.rediris.es
Monitorizacióndeservicios
Sobre el servicio de monitorización...
El Servicio de Monitorización de RedIRIS ofrece a lasinstituciones afiliadas la posibilidad de analizar ydiagnosticar el estado de sus servicios, desde un puntoneutro situado fuera de su red corporativa, ofreciendo lavisión de un observador externo.
Algunas cifras (del servicio que desaparece)
l Lanzado en 2012l 82 instituciones usando el serviciol 258 hosts monitorizadosl 305 servicios
l 375 direcciones de contactol Más de 50000 chequeos al díal 1231 tickets válidos (peticiones de soporte) desde el
comienzol Listado de servicios monitorizados:
l https://www.rediris.es/monitor/docs/servicios.html
Sobre la actualización del servicio
l La nueva plataforma recibe el nombre «avizor»
l Finalizando el ajuste de la plataforma, y replicando las monitorizaciones existentes
l Nueva terminología:
l Un agente ≈ una máquina a monitorizarl Un grupo de agentes ≈ un tenant ≈ una instituciónl Un módulo ≈ un servicio a monitorizarl Una métrica ≈ cada dato o característica de un
agentel Plataforma escalable, inicialmente parametrizada para:
l 2000 agentesl 50000 monitores (chequeos, con intervalos 5-10
minutos)Direcciones de contacto ilimitadas
Piloto del nuevo servicio
l Ha estado funcionando durante un año aproximadamentel Principales conclusiones:
l La plataforma es potente, aunque por ello puede resultar complejal Valoración positiva de las nuevas capacidades de informes y alertasl Vemos necesario hacer una migración inicial de los chequeos en la
monitorización anterior como punto de partidal Se ve necesaria también formación para exprimir las posibilidades al
máximol Se ha estado probando la nueva plataforma también para monitorización
de NISUE y SIR2
Plan de migración
l Replicación de chequeos en nueva plataforma (en curso)l Replicación de contactos genéricos (en curso)
l los contactos individuales podrán establecerse por las personas con acceso a la plataforma
l Petición de firma de nuevo CUSOl Recopilación de contactos de servicio actualizados
l Creación del tenant, asignación de chequeos y contactos de la anterior plataforma, creación de alertas e informes mensuales
l Envío de instrucciones de acceso al tenant, vía SIR2l Eliminación de la monitorización anterior
Elementos de coordinación
l Misma dirección de soporte:sysmon@rediris.es
l Misma lista de coordinación:IRIS-MONITOR@LISTSERV.REDIRIS.ES
l Nuevo wiki de documentación:https://wiki.rediris.es/Monitor
Formación
l Prevista formación para primeros meses de 2018
l Se tratará de que conozcamos mejor las posibilidades de la nueva plataforma
l Se realizarán ejercicios prácticos, tanto de monitorización remota (desde la plataforma), como basada en agentes de software
SistemasySeguridad
CatálogodeServicios
Colaboración
IRISList Listasdedistribuciónindividuales,paracualquierusuariocientífico
AutoList Unserviciodelistasdedistribuciónparacadainstitución
FileSender Intercambiodeficherospesadosentreusuarios
SeguridadLavadora Correolimpioenlosbuzonesdelasinstituciones
DDoS – Autofiltrado Descartedetráficohacia servidoresnocríticosdelainstitución.
DDoS – Traficolimpio Reddelimpiezadetráficohaciaservidorescríticosdelainstitución
Sistemas
NTP ServiciodehoradeRedIRIS
ActualidaddeServiciosNoviembre2017
EVOLUCIÓN
● Autolist.Autoserviciopersonalizadodelistasdedistribución.
● Filesender.Serviciodeintercambiodeficheros/archivos.
● DDoS.Serviciodemitigacióndeataquesdedenegacióndeservicio.
ENDESARROLLOPARA2018
● NTPautenticadoyfiltrado.● Serviciodetransferencia
devolúmenesdedatos.
Autolist – http://rediris.es/autolist
● AutoList esunaespacioquepermiteaunainstitucióncrearsupropioserviciodelistasdedistribuciónautogestionado,consupropiodominioeidentidad§ Paneldeadministradorydeusuario§ Formularioparacreacióndelistasporpartedeusuarios§ Estadísticasglobales
● TodoelaccesoaAutoList esvíaSIRysitodavíanosesedisponedeSIRdisponedealternativasenbbdd local
● LascredencialesdeaccesoaLISTSERVtambiénseránvíaSIRyvia clasica● EstadísticasAutoList
§ Instituciones:20§ Listascreadas:139§ Suscriptores:35.000
● Próximamente:APIparacargarusuariosdesdebbdd/LDAPdelainstitución
Filesender – http://rediris.es/filesender
● Completoservicioparatransferirficherosdehasta10GB● PermiteenviarficherosausuariosSIR● Permiteenviarinvitacionestemporalesausuarioanónimosparatransferirficheros● Cadausuariodispondrádeunapaneldeadministracióndetransferenciase
invitaciones● VentajasdesobreserviciossimilarescomoCONSIGNA
§ Panelesindividuales§ Tamañocuasiilimitadodeficheros§ Massencilloeintuitivo
● ¿SepuedesustituirFileSender porConsigna?¿Cómo?
Filesender http://rediris.es/filesender
¿quées? Plataformadeintercambiodeficherosoarchivos.
¿quiénlopuedeusar?
DisponibleparatodalacomunidadRedIRIS
¿requisitosparausarlo?
LasinstitucionesdebendisponerdeSIRparausarloLosusuariosexternos(noSIR)porinvitación.
¿limitaciones?Soloeneltamañodelosarchivos,quedebeserinferiora100gigas.
¿comoaccedo? https://filesender.rediris.es
PARAELPRÓXIMOCURSO…
● NTPautenticadoyfiltradodelprotocolo
§ Másinformaciónen:iris-ntp@listserv.rediris.es
● Serviciooptimizadotransferenciadevolúmenesde
datoscientíficosparalasinstitucionesafiliadas.
ActualizacióndelosserviciosparamitigacióndeDDOS
RedIRIS- laredacadémicaydeinvestigaciónespañola 37
DDOSConseguirpordiversasformasqueunservicionoesteoperativo,porlogeneralporsaturacióndealgunodeloselementosquepermitendaresteservicio.
RedIRIS- laredacadémicaydeinvestigaciónespañola 38
● PREGUNTAparaanimaralagenteaconectarse
RedIRIS- laredacadémicaydeinvestigaciónespañola 39
¿Quétipodeataquesobserváis?● Saturacióndeenlacederedtroncal● SaturacióndelFirewall/routerdeacceso● SaturacióndelServidor● Saturacióndelaaplicación
RedIRIS- laredacadémicaydeinvestigaciónespañola 40
ServiciosparalaMitigaciónenRedIRIS●Visibilidad●Autofiltrado● Limpiezadetrafico
RedIRIS- laredacadémicaydeinvestigaciónespañola 41
Visibilidad● ComplementaaniveldeseguridadlainformacióndeNetFlow
queproporcionaelserviciodeinformesdeconexiónproporcionadoporeláreadeRed.
● Enprocesodedespliegueyajustesfinalesdeconfiguración(accesofederado)
● Debecomplementarseconherramientaspropiasdelainstitución
RedIRIS- laredacadémicaydeinvestigaciónespañola 42
¿Quéseusaenataquesdeamplificación?● ProtocolosbasadosenUDP● Falsificacióndetraficoorigen(IPdelavictima)aservidoresmalconfigurados.
● Larespuesta(enpaquetes/bytes)suelesermayorquelaconsulta.
RedIRIS- laredacadémicaydeinvestigaciónespañola 43
LDAP NTP
CHARGEN DNS
RedIRIS- laredacadémicaydeinvestigaciónespañola 44
Autofiltrado● PermiteaunainstituciónbloqueartraficocondestinoIPpropias.● Posibilidaddefiltrar“aguasarriba”deRedIRIS,permitiendoel
traficodentrodeRedIRIS.● Autoservicio:Lainstitucióndecidecuandoaplicarelbloqueoy
cuandovolverapermitireltrafico● Evoluciónfuturaafiltrosmásespecíficos(FoD,deGEANT)● 7institucionesestánusandoelservicioahoramismo● ~80rutasfiltradas
RedIRIS- laredacadémicaydeinvestigaciónespañola 45
Limpiezadetráfico● Actuaciónbajodemandaunavezconfiguradoelservicio.
● Medidasactivasypasivasparaevitareltrafico● Coordinadoconlainstituciónqueestasiendovíctimadelataque
● Algunascontramedidastienenefectoscolaterales.
RedIRIS- laredacadémicaydeinvestigaciónespañola 46
LimpiezadetráficoEvoluciónaunsistemadelimpiezatrasparenteparalasinstituciones.
§ ~80%delasinstitucionesselespuedeaplicarlimpiezadeformatrasparente
§ Necesidaddesolicitarelservicioparatenerunamejorvisibilidaddeltráficocondestinolosserviciosaproteger.
§ Previstoelfuncionamientoenmodoautoservicioen2018● 22institucionestienenactivadoelservicio
RedIRIS- laredacadémicaydeinvestigaciónespañola 47
top related