actualidad servicios rediris · 2017. 11. 29. · sobre la actualización del servicio l la nueva...

ActualidadServiciosRedIRISGruposdeTrabajo

Madrid,29deNoviembrede2017

ConectividadRedIRIS

Catálogodeservicios

RedIRIS- laredacadémicaydeinvestigaciónespañola 3

Circuitosópticos10G

VPNL2VPNL2Múltiple

IRIS-IPIRIS-TICKETSIRIS-DNS

AnálisisderendimientoInformesyControlLookingglassTestvelocidad

Pordefectoalconectar

IPv4– IPv6

Hosting- delegación- secundario

Bajodemanda

Conectividad

IntranetacadémicaydelainvestigaciónAccesoalaInternetGlobalGestióndeincidenciasdeRed(IRIS-NOC)

ServiciodedireccionamientoIPServicioDNS

ServicioIPv6ServiciodedistribucióndecontenidosMulticastServiciodesincronizaciónhorariodeequipos

RedesPrivadas

CircuitosvirtualesCircuitosópticos

OPS(24x7)NOC(8x5)

NovedadesServicioDNS

RedIRIS- laredacadémicaydeinvestigaciónespañola 4

• NuevoServicio“HostingDNS”(http://www.rediris.es/dns/hosting-dns.html)• Permitelacreación,mantenimientoypublicacióndezonasDNSenlosservidoresdeRedIRIS• AtravésdeIRISDNS,lasinstitucionespodrándardealtanuevaszonas,editarlasodarlasdebaja

– Elcontenidodelazonaesexclusivamenteresponsabilidaddelainstitución,yaunquelaszonassecreanconunosregistrospordefecto,esposibledardealtaymodificarcualquierdeellos.

• HerramientadegestióndeservicioIRISDNS(http://www.rediris.es/dns/irisdns.html)• Herramientaweb.AutenticaciónyautorizaciónmedianteSIR.• Permitealasinstitucionesautogestionar losserviciosDNSproporcionadosporRedIRIS

– Hosting– Secundario– Delegación– Altas,bajas,modificaciones.– Publicacióndenuevosdominios

• Cambiosimplementadosinmediatamente.• Mantieneunregistrodelasoperacionesrealizadas.• Permiteejecutarcambiosindividualesomasivos.

Géant CloudIaaS Framework“TOWARDSTHECLOUDSTOGETHER”

AntonioSaraviaantonio.saravia@rediris.es@asaraviag

Géant CloudIaaS Framework

RedIRIS- laredacadémicaydeinvestigaciónespañola 6

• ContratomarcodisponibleyenusoentodaEuropa• “TowardsPan-EuropeanCloudServices”(https://www.youtube.com/watch?v=wujP8WFKXlo)

• Múltiplesbeneficios:• Ahorrodecostes(descuentosyreducciónsignificativadeloscostesdetráfico)• Agilidad(licitaciónconjuntayarealizadaporGÉANT)• Cumplimientodelanormativaeuropeasobreseguridadyproteccióndedatos• Iniciodesesiónúnico(SSO)conlascredencialespropiasdecadainstituciónatravésdelserviciodeFederacióndeidentidadesdeRedIRIS(SIR- eduGAIN)

• Conexionesoptimizadas(Direct peering)conlosproveedorescloud• YaenusoenEspaña:16instituciones,principalmenteprivadas,yaseestán

beneficiando.Situaciónde“stand-by”enlasinstitucionespúblicas• ContratoMarcoapoyadoenlaDirectivaeuropea2014/24/UEsobrecontrataciónpública.

PorfinseaprobóenelCongresolanuevaLCSPdondesetransponeestaDirectiva.

Proveedores Cloud paraEspaña

RedIRIS- laredacadémicaydeinvestigaciónespañola 7

OnlineCloud Catalogue:IaaS servicematrix (https://catalogue.geant.org/reports/)

RedIRIS- laredacadémicaydeinvestigaciónespañola 8

mailto:cloud-sdms@rediris.es

"david rincon"<david.rincon@imdea.org>;

Serviciosmiddleware

Serviciosmiddleware

● SIR§ SIR-CL@ve§ O365

● Eduroam● TCS● AE:

§ IRIS-SARA§ NISUE

● Monitorización● Herramientasadicionales:

§ Registro deidentificadores digitales§ Repositorio deréplicas

10

ServicioSIR:Federacióndeidentidades

11MiddlewareyAplicaciones

ServicioSIR:Federacióndeidentidades

12MiddlewareyAplicaciones

MigraciónSIR->SIR2

13

1Contacta

do45%

1pendient

e2%

1trabajan

do5%

2Contacta

do10%

2Finalizad

o1%

3Contacta

do18%

3trabajan

do8%

3finalizad

a11%

1Contactado

38%

1pendiente0%

1trabajando

2%2Contactado

3%2Finalizado

0%

3Contactado

20%

3trabajando

8%

3finalizada29%

Junio2017 Noviembre2017

Nuevoapoyoparaaceleraresteproceso

SIR

● Integraciónconcl@ve§ PermitequelosproveedoresdeservicioSIRpuedanusarcl@ve

comoIdP§ Enpro7,enpre19

● IntegraciónO365§ PermiteutilizarSIRcomomecanismoparaautenticarcontrao365§ DesarrolladoporMicrosoftconelsoportedeRedIRIS§ USyUPM

14

Serviciodemovilidadeduroam

● Servicioglobalderoamingparainstitucionesacadémicasycientíficas

● Despliegueen37paísesdelaUE,ademásdeEEUU,CanadáyAsia-Pacífico

● EnEspaña,desplegadomasivamentegraciasalprogramaCampusenReddered.es

● Estadísticas(2017):§ 141institucionesconectadasenEspaña§ >25millonesdeautenticacionesprocesadasalmes

MiddlewareyAplicaciones 15

eduroam

VisitadeMINECOaRedIRIS 16

Serviciodemovilidadeduroam

MiddlewareyAplicaciones 17

● Vídeodivulgativodeeduroam§ Másde47.000visitasenyoutube§ Coste<1.000€(desarrollointernacional,adaptadoaEspaña)

RedSARA

Ministerios

CC.AA.

Ayuntamientos

ServicioIRIS-SARA

18

● RedIRIScomoProveedordeAccesoaSARAparauniversidades,OPISeICTSs● Racionalizacióndeinfraestructurasygestióndeaccesos

MiddlewareyAplicaciones

RedIRIS

Sobreelserviciodecertificadosdigitales

RedIRIS- laredacadémicaydeinvestigaciónespañola

19

Desdeelaño2006,RedIRISproporcionaasusinstitucionesafiliadasunserviciograciasalcualpuedensolicitar,sincosteparaellas,múltiplestiposdecertificadosdigitales(deservidor,personales,defirmadecódigo,dee-Ciencia,…)emitidosporentidadesreconocidasaescalaglobal

Certificadosdigitales– serviciosproporcionados

RedIRIS- laredacadémicaydeinvestigaciónespañola

20

• pkIRISGrid (finalización)• 12añosdeexistencia(2005-2017)• 50autoridadesderegistro(RAs)• 180operadoresdeRAs• Casi10.000certificadosemitidos

• TCS• Desdemitadde2015• 170institucionesparticipantes• Másde11.000certificadosemitidos

• Másde800sondeperfilesGrid (e-Ciencia)

Certificadosdigitales– Elementosdecoordinación

RedIRIS- laredacadémicaydeinvestigaciónespañola

21

• pkIRISGrid (finalización)• TCS

• https://www.rediris.es/tcs• Soporte

• tcs@rediris.es• Listadeadministradoresdelservicioenlasinstituciones

• tcs-user@listserv.rediris.es

Monitorizacióndeservicios

Sobre el servicio de monitorización...

El Servicio de Monitorización de RedIRIS ofrece a lasinstituciones afiliadas la posibilidad de analizar ydiagnosticar el estado de sus servicios, desde un puntoneutro situado fuera de su red corporativa, ofreciendo lavisión de un observador externo.

Algunas cifras (del servicio que desaparece)

l Lanzado en 2012l 82 instituciones usando el serviciol 258 hosts monitorizadosl 305 servicios

l 375 direcciones de contactol Más de 50000 chequeos al díal 1231 tickets válidos (peticiones de soporte) desde el

comienzol Listado de servicios monitorizados:

l https://www.rediris.es/monitor/docs/servicios.html

Sobre la actualización del servicio

l La nueva plataforma recibe el nombre «avizor»

l Finalizando el ajuste de la plataforma, y replicando las monitorizaciones existentes

l Nueva terminología:

l Un agente ≈ una máquina a monitorizarl Un grupo de agentes ≈ un tenant ≈ una instituciónl Un módulo ≈ un servicio a monitorizarl Una métrica ≈ cada dato o característica de un

agentel Plataforma escalable, inicialmente parametrizada para:

l 2000 agentesl 50000 monitores (chequeos, con intervalos 5-10

minutos)Direcciones de contacto ilimitadas

Piloto del nuevo servicio

l Ha estado funcionando durante un año aproximadamentel Principales conclusiones:

l La plataforma es potente, aunque por ello puede resultar complejal Valoración positiva de las nuevas capacidades de informes y alertasl Vemos necesario hacer una migración inicial de los chequeos en la

monitorización anterior como punto de partidal Se ve necesaria también formación para exprimir las posibilidades al

máximol Se ha estado probando la nueva plataforma también para monitorización

de NISUE y SIR2

Plan de migración

l Replicación de chequeos en nueva plataforma (en curso)l Replicación de contactos genéricos (en curso)

l los contactos individuales podrán establecerse por las personas con acceso a la plataforma

l Petición de firma de nuevo CUSOl Recopilación de contactos de servicio actualizados

l Creación del tenant, asignación de chequeos y contactos de la anterior plataforma, creación de alertas e informes mensuales

l Envío de instrucciones de acceso al tenant, vía SIR2l Eliminación de la monitorización anterior

Elementos de coordinación

l Misma dirección de soporte:sysmon@rediris.es

l Misma lista de coordinación:IRIS-MONITOR@LISTSERV.REDIRIS.ES

l Nuevo wiki de documentación:https://wiki.rediris.es/Monitor

Formación

l Prevista formación para primeros meses de 2018

l Se tratará de que conozcamos mejor las posibilidades de la nueva plataforma

l Se realizarán ejercicios prácticos, tanto de monitorización remota (desde la plataforma), como basada en agentes de software

SistemasySeguridad

CatálogodeServicios

Colaboración

IRISList Listasdedistribuciónindividuales,paracualquierusuariocientífico

AutoList Unserviciodelistasdedistribuciónparacadainstitución

FileSender Intercambiodeficherospesadosentreusuarios

SeguridadLavadora Correolimpioenlosbuzonesdelasinstituciones

DDoS – Autofiltrado Descartedetráficohacia servidoresnocríticosdelainstitución.

DDoS – Traficolimpio Reddelimpiezadetráficohaciaservidorescríticosdelainstitución

Sistemas

NTP ServiciodehoradeRedIRIS

ActualidaddeServiciosNoviembre2017

EVOLUCIÓN

● Autolist.Autoserviciopersonalizadodelistasdedistribución.

● Filesender.Serviciodeintercambiodeficheros/archivos.

● DDoS.Serviciodemitigacióndeataquesdedenegacióndeservicio.

ENDESARROLLOPARA2018

● NTPautenticadoyfiltrado.● Serviciodetransferencia

devolúmenesdedatos.

Autolist – http://rediris.es/autolist

● AutoList esunaespacioquepermiteaunainstitucióncrearsupropioserviciodelistasdedistribuciónautogestionado,consupropiodominioeidentidad§ Paneldeadministradorydeusuario§ Formularioparacreacióndelistasporpartedeusuarios§ Estadísticasglobales

● TodoelaccesoaAutoList esvíaSIRysitodavíanosesedisponedeSIRdisponedealternativasenbbdd local

● LascredencialesdeaccesoaLISTSERVtambiénseránvíaSIRyvia clasica● EstadísticasAutoList

§ Instituciones:20§ Listascreadas:139§ Suscriptores:35.000

● Próximamente:APIparacargarusuariosdesdebbdd/LDAPdelainstitución

Filesender – http://rediris.es/filesender

● Completoservicioparatransferirficherosdehasta10GB● PermiteenviarficherosausuariosSIR● Permiteenviarinvitacionestemporalesausuarioanónimosparatransferirficheros● Cadausuariodispondrádeunapaneldeadministracióndetransferenciase

invitaciones● VentajasdesobreserviciossimilarescomoCONSIGNA

§ Panelesindividuales§ Tamañocuasiilimitadodeficheros§ Massencilloeintuitivo

● ¿SepuedesustituirFileSender porConsigna?¿Cómo?

Filesender http://rediris.es/filesender

¿quées? Plataformadeintercambiodeficherosoarchivos.

¿quiénlopuedeusar?

DisponibleparatodalacomunidadRedIRIS

¿requisitosparausarlo?

LasinstitucionesdebendisponerdeSIRparausarloLosusuariosexternos(noSIR)porinvitación.

¿limitaciones?Soloeneltamañodelosarchivos,quedebeserinferiora100gigas.

¿comoaccedo? https://filesender.rediris.es

PARAELPRÓXIMOCURSO…

● NTPautenticadoyfiltradodelprotocolo

§ Másinformaciónen:iris-ntp@listserv.rediris.es

● Serviciooptimizadotransferenciadevolúmenesde

datoscientíficosparalasinstitucionesafiliadas.

ActualizacióndelosserviciosparamitigacióndeDDOS

RedIRIS- laredacadémicaydeinvestigaciónespañola 37

DDOSConseguirpordiversasformasqueunservicionoesteoperativo,porlogeneralporsaturacióndealgunodeloselementosquepermitendaresteservicio.

RedIRIS- laredacadémicaydeinvestigaciónespañola 38

● PREGUNTAparaanimaralagenteaconectarse

RedIRIS- laredacadémicaydeinvestigaciónespañola 39

¿Quétipodeataquesobserváis?● Saturacióndeenlacederedtroncal● SaturacióndelFirewall/routerdeacceso● SaturacióndelServidor● Saturacióndelaaplicación

RedIRIS- laredacadémicaydeinvestigaciónespañola 40

ServiciosparalaMitigaciónenRedIRIS●Visibilidad●Autofiltrado● Limpiezadetrafico

RedIRIS- laredacadémicaydeinvestigaciónespañola 41

Visibilidad● ComplementaaniveldeseguridadlainformacióndeNetFlow

queproporcionaelserviciodeinformesdeconexiónproporcionadoporeláreadeRed.

● Enprocesodedespliegueyajustesfinalesdeconfiguración(accesofederado)

● Debecomplementarseconherramientaspropiasdelainstitución

RedIRIS- laredacadémicaydeinvestigaciónespañola 42

¿Quéseusaenataquesdeamplificación?● ProtocolosbasadosenUDP● Falsificacióndetraficoorigen(IPdelavictima)aservidoresmalconfigurados.

● Larespuesta(enpaquetes/bytes)suelesermayorquelaconsulta.

RedIRIS- laredacadémicaydeinvestigaciónespañola 43

LDAP NTP

CHARGEN DNS

RedIRIS- laredacadémicaydeinvestigaciónespañola 44

Autofiltrado● PermiteaunainstituciónbloqueartraficocondestinoIPpropias.● Posibilidaddefiltrar“aguasarriba”deRedIRIS,permitiendoel

traficodentrodeRedIRIS.● Autoservicio:Lainstitucióndecidecuandoaplicarelbloqueoy

cuandovolverapermitireltrafico● Evoluciónfuturaafiltrosmásespecíficos(FoD,deGEANT)● 7institucionesestánusandoelservicioahoramismo● ~80rutasfiltradas

RedIRIS- laredacadémicaydeinvestigaciónespañola 45

Limpiezadetráfico● Actuaciónbajodemandaunavezconfiguradoelservicio.

● Medidasactivasypasivasparaevitareltrafico● Coordinadoconlainstituciónqueestasiendovíctimadelataque

● Algunascontramedidastienenefectoscolaterales.

RedIRIS- laredacadémicaydeinvestigaciónespañola 46

LimpiezadetráficoEvoluciónaunsistemadelimpiezatrasparenteparalasinstituciones.

§ ~80%delasinstitucionesselespuedeaplicarlimpiezadeformatrasparente

§ Necesidaddesolicitarelservicioparatenerunamejorvisibilidaddeltráficocondestinolosserviciosaproteger.

§ Previstoelfuncionamientoenmodoautoservicioen2018● 22institucionestienenactivadoelservicio

RedIRIS- laredacadémicaydeinvestigaciónespañola 47