Cluster di login E. P.

Scopo del cluster di login Fornire accesso alle macchine interne ed ai servizi Evitare gli attacchi diretti alle macchine interne alla rete Protocolli ssh VPN

Schema connessioni fisiche 3750E WAN 6509 ov 10 Gb/s swsicrXX Protocollo «B» Protocollo «A» Protocollo «C»

Schema connessioni vlan 3750E WAN Gb/s «network 11» «network 44/22 = 1024 indirizzi» «network 26» vpn3 vpn2 vpn1 «network 14» dhcpvlan

Schema connessione vpn 3750E WAN Gb/s «network 11» «network 44/22 = 1024 indirizzi» «network 26» vpn3 vpn2 vpn1 «network 14» dhcpvlan

Schema 3750E WAN 6509 ov LAN User node Login (1) VPN (1) 10 Gb/s 4 Gb/s 1 Gb/s 1 Gb/s o 100 Mb/s swsicrXX 4 Gb/s 2 Gb/s

Indirizzamento con VPN 3750E WAN 6509 VPN1 VPN2 VPN3 LAN User node 10 Gb/s 4 Gb/s 1 Gb/s o 100 Mb/s swsicrXX 4 Gb/s Ext node z 1 w.x.y.z y 1.z 2 1 Gb/s

Parametri Quante sono le connessioni possibili? Non abbiamo statistica sul numero Traffico giornaliero medio attuale Mb/s Guess: per lo piu’ su connessioni established dall’interno Quanto dobbiamo poter potenzialmente supportare? Supponiamo un carico massimo di 1 connessione per utente per protocollo Molto pessimistica ? ~ 1000 connessioni, il protocollo dipende dalle abitudini Una macchina virtuale ssh ed una VPN per macchina fisica Assicura ridondanza e mantenimento qualita’ della connessione

Load balancing Meccanismo primario Round robin via DNS C’e’ modo di ottimizzare ? Si per VPN, intrinseco nel VPN

Criteri per la protezione dei servizi Macchine fisiche sulla rete 26 Macchine virtuali Login attualmente sulla 11 VPN Non sulla 26 VPN “speciale” per I membri del SICR Su macchina fisica ridondata? O sul cluster dei servizi? Quanti numeri ci servono ? Soluzione scelta: Una sottorete /22 con DHCP unico DHCP su dhcpvlan Le sottoreti in questione devono essere anch’esse protette da ACL I nodi a casa non devono essere raggiungibili dall’esterno! Protezione dei PC a casa l’uno dall’altro

Come dare accesso ssh come ora Migrare ad AAI (i.e. LDAP + kerberos) ? Meta finale Radius specifico connesso ad LDAP + kerberos Automatico per dipendenti, associati, utenti SICR Ospiti INFN ? Implica registrazione degli ospiti chiedenti accesso Ovvero la registrazione degli ospiti del dipartimento E la sincronizzazione dei database E’ necessario registrare tutti? E’ meglio farlo con una procedura automatica (scopo finale) Fasanelli l’ha fatto a mano !!!!!

Nota: protezione rete dei servizi Le macchine della rete 26 Non devono essere raggiungibili dalle altre VLAN Apertura puntuale delle sole porte necessarie Apertura dalle sole reti necessarie (es.: infnweb) Filtro sul 6509 (come per nodi wifi) Accesso alla VLAN dei servizi solo per il SICR Macchine dei membri del servizio E” necessario che siano direttamente sulla 26 ? VPN riservato al servizio Via Radius con LDAP + Kerberos Macchina virtuale sul cluster dei servizi

Da studiare DHCP 1 e 2 su macchine virtuali, comune per tutti Radius 1 e 2 su macchine virtuali, comune per tutti