grupo de trabajo iris‐mail/32 · iris-mail/32 reflexiones manales • el correo electrónico se...
TRANSCRIPT
Salamanca, 15 Junio 2009
Grupo de Trabajo IRIS‐MAIL/32
IRIS-MAIL/32
Reflexiones maEnales
• El correo electrónico se usa mucho mas que ayer y menos que mañana
• Se ha imbricado en la dinámica de trabajo de toda la sociedad y la toma de decisiones
• Ahora el problema no es el spam sino el uso y dependencia excesiva.
• La vida profesional se encuentra almacenada en miles de correo
• Su evolución no será tecnológica sino de modelos de gesEón mas eficientes
2
IRIS-MAIL/32
Agenda IRIS‐MAIL/32
• Resultados de "Encuesta externalización de servicios TIC en universidades"
• Experiencias de suites colaboraEvas Zimbra: InsEtuto Nacional de EstadísEca (INE) Open‐Xchange: Universidad de Salamanca
• Grupo de Trabajo IRIS‐MONITOR. Resultados del protoEpo
• Estado final y puesta en macha del Servicio Lavadora
3
IRIS-MAIL/32
Nuevos enfoques IRIS‐MAIL
• Sesiones por videoconferencia EVO • Requisitos:
Cámara (no necesaria)
Cascos con auriculares y micrófono Estar registrado en EVO (h`p://evo.caltech.edu)
• Temas a tratar Intercambio de experiencias Tutoriales Cualquier tema de interés general
4
IRIS-MAIL/32
Nueva generación de modelos
Posibles ideas a pensar…
• Evaluación de un modelo distribuido de Webmal (suite colaboraEva) para toda la comunidad
• Evaluación de un servicio de Disco Virtual a usuarios para intercambio de ficheros pesados de forma ópEma. (Dropbox)
5
IRIS-MAIL/32 6
Resultados de la “Encuesta de externalización de Servicios TIC en universidades”
Actualidad IRIS‐MAIL
IRIS-MAIL/32 7
Suites colaborativas
• Experiencias ZIMBRA (INE) • Experiencias Open-Xchange (USAL)
Actualidad IRIS‐MAIL
IRIS-MAIL/32 8
Servicio piloto monitorización de RedIRIS para servicios de correo electrónico
Actualidad IRIS‐MAIL
Grupo de Trabajo IRIS-MONITOR
IRIS-MAIL/32
ObjeEvos
El objeEvo de esta iniciaEva de RedIRIS • Realizar un GT para conocer el interés entre las insEtuciones en este Epo de servicios
• Realizar un protoEpo para evaluar las funcionalidades mas demandas en este Epo de servicios
• Recoger los resultados para desplegar un servicio en producción para la Comunidad RedIRIS
9
IRIS-MAIL/32
Historia del Grupo de Trabajo
• Servicio monitorización nació como una idea dentro del grupo RACE
• Exposición en IRIS‐MAIL/30 de Málaga (Mayo 2009)
• UNIZAR se propuso para poner recursos y desarrollar la maqueta del protoEpo: Argos
• UNIZAR dispuso de un primer protoEpo en Noviembre 2009
• EVOTutorial de Argos en Febrero 2009 • Encuesta de saEsfacción Mayo 2009
10
IRIS-MAIL/32 11
Desarrollo del Grupo de Trabajo IRIS-MONITOR
Actualidad IRIS‐MAIL
IRIS-MAIL/32
MoEvaciones monitorización externa
• Muchas insEtuciones usan monitorización interna de sus infraestructuras
• Estos sistemas sólo chequean variables significaEvas para los administradores y operadores del servicio
• Muchos de los sistemas de monitorización forman parte de la misma infraestructura del servicio que monitorizan
• No se dispone un análisis de lo que realmente perciben los usuarios del servicio
12
IRIS-MAIL/32
ObjeEvos generales del GT
• Monitorizar servicios insEtucionales desde puntos deslocalizado de sus infraestructuras
• Detectar situaciones de alerta en los servicios insEtucionales
• Monitorización geográficamente redundante para evitar falsas alarmas.
13
IRIS-MAIL/32
ObjeEvos concretos del GT
• Monitorización conEnua de servicios • Emisión de alarmas ante malfuncionamiento de servicios
• Emisión de informes periódicos de
disponibilidad y rendimiento de servicios
• Panel web informaEvo con históricos y estado actual
14
IRIS-MAIL/32
ObjeEvos concretos del GT
• Monitorización periódica de parámetros específicos del Servicio de correo: Chequeos DNS Blacks Lists Chequeos DNS Reverse Lookup Chequeos SPF Records Chequeos DKIM Records Chequeos DNS MX Records Chequeos SMTP Connect Chequeos SMTP AuthenEcaEon Chequeos TLS Check Submit protocol
15
IRIS-MAIL/32
Módulos del desarrollo Argos • GesEón de cuentas de usuarios • Definición de monitores • Sistema de chequeos • GesEón de alertas • Acceso a la información e informes • Sistema de gráficos • Exportación de datos • Creación de “paneles de control”: Dashboards y API´s • Otras uElidades
16
IRIS-MAIL/32
Agentes de monitorización Argos • Los usuarios de una organización acceden a sus servicios desde puntos dispersos de la red y es necesario saber la accesibilidad y velocidad de nuestros servicios desde cada uno de estos puntos.
• Con Argos se ha desplegado una infraestructura con varias estaciones (Agentes de monitorización) reparEdos en disEntos puntos de la red que chequean en paralelo los servicios y proporcionan información sobre disponibilidad y *empos de acceso.
17
IRIS-MAIL/32
Agentes de monitorización Argos
• Se recogen los resultados de los chequeos que pueden verses agrupados (media) o individual.
• Ofrece conEnuidad del los chequeos evitando informes de disponibilidad erróneos por mal funcionamiento de algún agente.
• Un servicio se dará por "caído" cuando mas de la mitad de los agentes lo marquen como inaccesible.
18
IRIS-MAIL/32 19
Agentes de monitorización Argos
IRIS-MAIL/32 20
Pantallazos de la plataforma Argos
Actualidad IRIS‐MAIL
IRIS-MAIL/32 21
IRIS-MAIL/32 22
IRIS-MAIL/32 23
IRIS-MAIL/32
Gráficos embebidos
24
IRIS-MAIL/32 25
Dash Board
IRIS-MAIL/32 26
Conclusiones GT IRIS-MONITOR
Actualidad IRIS‐MAIL
IRIS-MAIL/32 27
IRIS-MAIL/32
Resultados • La experiencia y resultados del Grupo de Trabajo han sido muy posiEvos
• Se ha constatado un gran interés por el servicio de monitorización 40 insEtuciones uElizándolo
• Argos ha sido un extraordinario protoEpo • Argos es un servicio en desarrollo e inestable aunque seguirá operaEvo como hasta ahora
• Se construirá una solución en explotación mas sostenible, flexible y extendible con carácter general para toda la comunidad
28
IRIS-MAIL/32
Agradecimientos
• Agradecer la colaboración de: Compañeros del Grupo RACE
Las insEtuciones que han parEcipado en este GT aportando ideas, comentarios, mejoras etc.
UNIZAR por la disposición de recursos sot/hard y especialmente a Pascual Pérez de UNIZAR que ha desarrollado la plataforma Argos de forma rápida y efecEva
29
IRIS-MAIL/32 30
Servicio LAVADORA Plataforma Unificada de Correo Electrónico
Actualidad IRIS‐MAIL
IRIS-MAIL/32
Desarrollo Proyecto • Mayo 08: Propuesta en Grupo de Trabajo
• Octubre 08: Desarrollo de Grupo de Trabajo • Enero 09: Presentación a la dirección de RedIRIS • Abril 09: Evaluación de fabricantes: Spamina y CanIT (Roaring Penguin).
• SepEembre 09: Se acota el modelo y presupuestos • Noviembre 09: Aprobación por la dirección RedIRIS
• Marzo 09: Concurso de adjudicación • Mayo 09: Adjudicación • Agosto 09: Puesta en producción del Servicio
31
IRIS-MAIL/32 Institución
Institución
MX institución DNS
Relay institución Relay Lavadora
Consultas LDAP Consultas LDAP
Mod
elo
clás
ico M
odelo LAVAD
OR
A
IRIS-MAIL/32 Institución
Institución
MX institución DNS
Relay institución Relay Lavadora
Consultas LDAP Consultas LDAP
Mod
elo
clás
ico
Modelo LAVA
DO
RA distribuido
Evolución
IRIS-MAIL/32
Modelo actual
34
INSTITUCION Internet
IRIS-MAIL/32
Modelo propuesto
35
INSTITUCION Internet
IRIS-MAIL/32
Definición del servicio
• Despliegue de la plataforma Dos años
Dos fases
• Fases de despliegue 1ª Fase: 15 millones conexiones SMTP x día 2ª Fase: 25millones conexiones SMTP x día
• Tecnología seleccionada: Spamina
36
IRIS-MAIL/32
Despliegue del servicio 1ª Fase (SepEembre 2010)
• Se iniciará con 17 insEtuciones que mostraron interés a finales de 2009
Total: 10.050.000 conexiones SMTP • 11 universidades + 6 insEtuciones
2ª Fase
• Nuevas incorporaciones hasta los 15M 3ª Fase • Ampliar infraestructura hasta 25M
• Evaluar recoger correo de la insEtución 4ª Fase • Por necesidad evaluar ampliación geográfica de la plataforma
37
IRIS-MAIL/32
Condiciones • Condiciones de Uso del servicio
2 años mínimo Bloqueo en filtros de reputación
Marcado en filtros de contenidos
• El Servicio se ofrece con: Soporte Nivel 1 a postmasters: RedIRIS 8x5 Soporte Nivel 2 y 3 a RedIRIS: 24x7
Monitorización: 365x24x7 • Resolver incidencias del equipo: cambios de hardware etc
• Medir disponibilidad de componentes
• Mantener mediciones del caudal de trafico de correo
• Alertas de ataques
38
IRIS-MAIL/32
Esquema de la arquitectura
39
15/25 M: 13/18 servidores
IRIS-MAIL/32
CaracterísEcas técnicas • Alta disponibilidad y redundancia • Panel de control online con múlEples opciones.
Permite acceder a todas las trazas (Log) de las transacciones de todo el correo de su/s dominio/s.
• EstadísEcas de tráfico de correo de su insEtución. • En caso de caída del servidor remoto de la insEtución el correo se almacenará durante 3 día aprox.
• La arquitectura permite ser distribuible en diferentes datacenter en el caso de que fuera necesario
40
IRIS-MAIL/32
Opciones del panel control (1) • Acceso exclusivo y personalizado para el postmaster de la insEtución RedIRIS proporcionará las credenciales, documentación, soporte y cursos para la correcta gesEón del panel.
ObjeEvo: simplificar al máximo la gesEón
• GesEón a nivel de insEtución y por dominio
• Alta de cuentas de correo integrada con LDAP, descubrimiento por SMTP o de forma manual
41
IRIS-MAIL/32
Opciones del panel control (2) • GesEón de Listas Blancas y Negras propias para el dominio o cuenta
• Filtros de contenido por insEtución , dominio o cuenta
• Posibilidad de acEvar o desacEvar filtros de contenido y/o AnEvirus.
• Disponibilidad de Logs de correo en modo online con amplia variedad de criterios de búsqueda y posibilidad de exportación para su explotación en estadísEcas
42
IRIS-MAIL/32
Opciones del panel control (y 3)
• Diclaimers por insEtución y dominio
• Informes de acEvidad de la plataforma para el postmaster con todos los datos por dominio
• Personalización del panel de control y de los informes con el logo de la insEtución
43
IRIS-MAIL/32
Esquema de filtrado
44
Listas de reputación individuales
SENDER DOMVAL
RECIPIENT CALLOUT (SMTP, LDAP, PROMO)
GREYLISTING DELAY
RBLs
SPF
Lista Blanca de RedIRIS
MOTOR DE REGLAS
SPAMASSASSIN
BOGOFILTER
ANTIVIRUS (ClanAV) SPA
M / VIR
US
ENTREGA CORREO LIMPIO
Filtr
os d
e re
puta
ción
Filtros de contenidos
IRIS-MAIL/32
Filtros de reputación
45
Listas de reputación individuales
SENDER DOMVAL
RECIPIENT CALLOUT (SMTP, LDAP, PROMO)
GREYLISTING DELAY
RBLs
SPF
Lista Blanca de RedIRIS
IRIS-MAIL/32
Arquitectura de filtrado: Reputación (1)
• Acción: Bloquear/retrasar y almacenar trazas en ficheros de Log
• Los filtros de reputación asegurarán la validez y reputación del origen de un correo. Cuando el sistema esté seguro que dicho origen es malicioso la conexión SMTP será bloqueada y dejará traza (From:,To:,Subject: Y Date:) en los ficheros de log de cada dominio.
46
IRIS-MAIL/32
Arquitectura de filtrado: Reputación (2)
• Se uElizarán diferentes tecnologías de verificación de la reputación del origen: Listas Negras (RBLs). Acción= Bloqueo
• Se chequearán varias RBLs ampliamente conocidas (IRISRBL, spamhaus.org, bl.spamcop.net, cbl.abuseat.org, dnsbl.sorbs.net, dnsbl.njabl.org).
• Para reducir el número de falsos posiEvos sólo se se bloquearan las incluidas un 40% de las RBLs chequeadas
GreylisEng: Acción= Retardo Lista blanca de RedIRIS. Acción= PermiEr
• No se bloquearán las IPs incluidas en la lista blanca de RedIRIS
47
IRIS-MAIL/32
Arquitectura de filtrado: Reputación (3)
Chequeos SPF (Sender Policy Framework).
Validación del dominio del emisor. • Se comprobará la existencia de registros MX en los dominios emisores para garanEza la entrega de correo
Verificación del cumplimiento de diversos protocolos SMTP
Control estricto de la validez de los desEnatarios de los mensajes usando LDAP o SMTP. • Sólo se entregará correo desEnados a usuarios existentes en el dominio
48
IRIS-MAIL/32
Arquitectura de filtrado: Contenidos
49
Acción= Marcado
Filtro AnEVirus.
Motor de Reglas.
Filtros HeurísEcos y Bayesianos.
Filtros de contenido personalizables.
MOTOR DE REGLAS
SPAMASSASSIN
BOGOFILTER
ANTIVIRUS (ClanAV)
SPAM
/ VIRU
S
ENTREGA CORREO VÁLIDO
¿Opiniones? ¿dudas?
50