La virtualización para el despliegue seguro de laboratorios de ciberseguridad
La formación y capacitación en ciberseguridad de los alumnos del área de informática es una demanda actual y de futuro para nuestras empresas.
El creciente aumento de ciberataques indiscriminados a empresas, independientemente de su tamaño o actividad, nos debe hacer reflexionar sobre la necesidad de integrar la seguridad como un eje transversal a todos los procesos de negocio.
Tras asumir que podemos ser víctimas de un ataque, una de las medidas fundamentales que debemos adoptar es implantar medidas efectivas de protección y defensa de nuestras instalaciones, redes, equipos y servicios frente a estos ataques.
Para ello es necesario contar con profesionales capacitados en esta disciplina con la mayor experiencia práctica posible. Para adquirir esta experiencia es necesario poder reproducir en un entorno seguro, sobre el que realizar el aprendizaje, una infraestructura lo más cercana posible a los entornos de red y comunicaciones de una empresa tipo.
Es en este punto donde la virtualización de equipos y redes se presenta como la mejor alternativa para el aprendizaje y puesta en práctica de estos escenarios sobre el que poner en práctica los conocimientos adquiridos.
Con este objetivo, el desarrollo de una plataforma virtualizada para el despliegue de laboratorios de ciberseguridad, durante el curso 17-18 desde “AEG Escuela Innovación Profesional” presentamos el proyecto a TKNIKA que fue aprobado y desarrollado durante ese mismo curso escolar.
Fases del proyecto:
[if !supportLists]1. [endif]Configuración física de los servidores centrales
La primera fase consistió en adquirir, instalar y configurar los equipos físicos (servidores, almacenamiento y switchs) que soportarían todo el entorno centralizado de virtualización.
El equipamiento fue suministrado por LENOVO y lo formaron 3 servidores más 2 switchs de altas prestaciones.
Los 3 servidores fueron configurados en alta disponibilidad, formando un cluster de recursos (CPU, memoria y disco) compartido y repartido por todas las máquinas virtuales creadas a continuación.
Figura 1
Las capacidades finales son las mostradas en la figura 1, donde se muestran los recursos totales disponibles:
[if !supportLists]● [endif]131.94 Gz de procesamiento de CPU
[if !supportLists]● [endif]1.12 Tb de memoria RAM
[if !supportLists]● [endif]28.96 Tb de almacenamiento en HDD
Las máquinas virtuales desplegadas se distribuyen sobre los servidores físicos (esxi01, esxi02, esxi03) según la carga puntual de cada uno de ellos.
Las VM’s pueden cambiar de ubicación, bien para optimizar los recursos o bien, por la configuración de “alta disponibilidad”, si alguno de los servidores quedara inoperativo.
Sobre el “Data Center” configurado ya es posible la creación de lo s entornos de trabajo de cada grupo de alumnos.
[if !supportLists]2. [endif]Diseño del laboratorio de ciberseguridad a implementar.
Para poder planificar las necesidades de cada uno de los entornos de trabajo de los alumnos era necesario diseñar previamente el escenario que deberían llevar a cabo y sobre él, calcular los recursos necesarios a implementar (número y características de cada VM (CPU, memoria, disco), redes a desplegar,…
El reto a desarrollar fue el siguiente:
Figura 2
Cada equipo de trabajo debía de trabajar sobre un escenario que contaba con los siguientes segmentos de red:
[if !supportLists]a. [endif]LANC – La red local de la central de la empresa donde se instalarían los servidores centrales y los equipos de los empleados
[if !supportLists]b. [endif]DMZ – El segmento de red la central donde se ubicarán los servicios que deban ser publicados y accesibles desde Internet
[if !supportLists]c. [endif]VPN – segmento de tránsito para la conexión con la red una delegación mediante un túnel IPSEC a través de un equipo configurado para ello como router.
[if !supportLists]d. [endif]LAND – La red local de una delegación remota de la empresa
[if !supportLists]e. [endif]EXT – Segmento de red conectado al router/Gateway para acceso directo a Internet
Respecto a los equipos/servicios a instalar se estima como mínimo:
En la LANC
[if !supportLists]a. [endif]Un servidor Linux como Firewall de perímetro y servidor de OpenVPN
[if !supportLists]b. [endif]Un servidor Windows 2016 como DC, DNS, CA Raíz y servidor RADIUS
[if !supportLists]c. [endif]Un servidor Linux Proxy/Squid para el control de la navegación Web
[if !supportLists]d. [endif]Un PC Windows 10 como puesto cliente de un trabajador
En la DMZ
[if !supportLists]a. [endif]Un equipo Windows como servidor RAS (Servicio Acceso Remoto) actuando como cliente del servidor RADIUS interno para VPN basada en Windows
[if !supportLists]b. [endif]Un servidor Web basado en Linux accesible desde el exterior
En VPN
[if !supportLists]a. [endif]Un servidor Windows configurado como router y túnel IPSEC
En la LAND
[if !supportLists]a. [endif]Un servidor Windows configurado como router y túnel IPSEC
[if !supportLists]b. [endif]Un PC Windows 10 como puesto cliente de un trabajador
Basándonos en esta premisa se estimaron los recursos necesarios para cada servidor ESXi virtual que debían utilizar los grupos de alumnos, procediendo a la reserva siguiente: 4 CPU, 64GB de RAM y 400GB de disco
Figura 3
Con estos recursos totales, cada grupo puede desplegar las VM necesarias y repartir los recursos en función de los requerimientos de cada equipo.
Figura 4
Para cada servidor ESXi virtual mediante la configuración de switch virtuales (agregando grupo de puertos) se crean los segmentos de red necesarios para posteriormente asignarlos a cada servidor.
Figura 5
Si bien la mayoría de los equipos estarán conectados a un único segmento de red, otros como por ejemplo el Firewall perimetral se configura con varias tarjetas de red y por ello se conectará a diferentes segmentos de red permitiendo el enrrutado.
Figura 6
De esta forma cada grupo de alumnos dispone de un entorno completo de red “privado” donde poder desarrollar un complejo laboratorio en el que implementar tanto las técnicas de hacking para atacar los equipos y servicios desplegados como las medidas de defensa para contrarrestarlas.
Durante el curso 2017-2018 el proyecto finalizó con el despliegue de los servidores ESXi asignados a cada grupo en el segmento de “servicios centrales” de AEG.[if gte vml 1]><v:shape id="image8.png" o:spid="_x0000_i1027" type="#_x0000_t75" style='width:339pt; height:195.5pt;visibility:visible;mso-wrap-style:square'> <v:imagedata src="file:///C:\Users\Samuel\AppData\Local\Temp\msohtmlclip1\01\clip_image013.png" o:title=""></v:imagedata> </v:shape><![endif][if !vml][endif]
Figura 7
Si bien este segmento se encuentra separado de los equipos utilizados por los alumnos en las aulas y de los utilizados por profesores y despachos, al encontrarse en “servicios centrales”, los servidores ESXi virtuales desplegados podían interactuar entre sí o acceder al resto de servidores de los servicios allí desplegados ya que no se disponía dentro del entorno virtual de ningún mecanismo de filtrado específico para el control de acceso al resto de equipos.
3. [endif]Continuación del proyecto durante el curso 2018-2019
Como continuación y mejora del proyecto, durante el curso 2018-2019 continuamos investigando en las posibilidades del entorno centralizado de virtualización específicamente en relación con la implantación de medidas de seguridad en el despliegue de las redes virtuales.
El software que lo posibilita corresponde a los servicios de Vmware NSX que añade la posibilidad del despliegue de redes virtuales sobre las redes físicas existentes con la misma capacidad de gestión de rutas, filtrado o firewall entre los servidores virtuales entre sí o entre los servidores virtuales y los servidores físicos.
Figura 8
NSX se sitúa como una capa de red virtual por encima del entorno físico y permite la segmentación y la aplicación de reglas de filtrado sobre las VM’s desplegadas dentro de los servidores ESXi. Básicamente se puede hablar de dos tipos de filtrado:
ESTE-OESTE: se realiza entre los servidores ESXi o sus máquinas internas (virtual-virtual)
NORTE-SUR: se realiza entre los servidores ESXi virtuales y los servidores físicos (virtual-físico)
Figura 9
Con el despliegue de la solución NSX y a través de la configuración de los equipos EDGE (como firewall N-S) y de los DLR (router lógico E-O) ahora los servidores ESXi desplegados por los alumnos o profesores no tienen contacto directo entre ellos ni con los servidores físicos ubicados en “Servicios Centrales” aislando por completo la interacción de los laboratorios de ciberseguridad de la infraestructura de red física del centro.