En el CIFP Tartanga LHII se imparte el curso de especialización en “Ciberseguridad en entornos de las tecnologías de la información”, un curso donde, entre otros temas, se estudia tanto de forma teórica como práctica diferentes aspectos relacionados con la ciberseguridad, el bastionado de redes y sistemas, la puesta en producción segura, el análisis forense informático y el hacking ético. Para llevar a cabo las diferentes pruebas de tipo práctico, los alumnos cuentan con un cluster de virtualización con Proxmox, formado por tres nodos, donde pueden instalar las máquinas virtuales y contenedores necesarios.
Cluster dedicado al curso de especialización en ciberseguridad
Ejemplo de algunas de las máquinas virtuales utilizadas por los alumnos
Aunque estas máquinas virtuales no contienen información relevante, ya que están dedicadas a prácticas de los alumnos, de las principales de ellas se hacen backup diarios mediante un servidor con Proxmox Backup Server, a fin de que los alumnos puedan recuperar el estado de esas máquinas en una fecha dada. Estos backups se han hecho hasta ahora en un viejo servidor modelo HP Proliant DL 380 G5, claramente obsoleto, sobre una estructura de 6 discos mecánicos de 2TB en una configuración de RAID 10 con una capacidad útil de 3 x 2 = 6TB y con dos discos extra en modo “spare”. Aunque la mayoría de las máquinas virtuales que utilizan los alumnos ocupan poco espacio, la capacidad del server era insuficiente para guardar los backup necesarios y, debido a que era un servidor con muchos años de funcionamiento ininterrumpido, la fiabilidad del mismo también estaba en entredicho. Por ello, se ha adquirido un nuevo servidor del modelo HP Proliant DL380 G10, con las siguientes características:
- 12 bahías en la parte frontal para discos de 3,5″
- 2 bahías en la parte trasera para discos de 2,5″
- 2 procesadores del tipo Intel Xeon Gold 6148 SR3B6 20C
- 64 GB de memoria RAM ECC DDR4
- Controladora RAID HP Smart Array P840 4GB 16 Port 12G SAS 6G SATA
- Tarjeta de red 10 Gbps conexión en puerto LOM modelo HP 530FLR Broadcom con dos puertos de tipo 10GbE SFP+
- Doble fuente de alimentación HP 1400W
Vista frontal del server con las 12 bahías para discos de 3,5″
Vista frontal del server sin discos ni tapas ciegas de caddys
Vista trasera del server sin la tarjeta de 10GbE en la ranura LOM
El nuevo server colocado en la parte superior del cluster de ciberseguridad
Discos WD8005FFBX empleados para el almacenamiento de los backup
Disco duro de 8TB colocado en el caddy
Como en otros sistemas de backup del CIFP Tartanga LHII, en esta ocasión también se ha optado por discos de la serie Red Pro de Western Digital, en concreto el modelo 8005FFBX con 8TB de capacidad útil, velocidad de transferencia de 267 MB/s y un MBTF de 20.000.000 de horas.
Discos de 500Gb en RAID1 para Proxmox Backup Server
Arranque del nuevo server
Una vez insertados los discos duros de almacenamiento en las bahías frontales del nuevo server y los discos del sistema operativo en las bahías traseras de 2,5″, es el momento de configurar ambas unidades lógicas. Para el almacenamiento se ha configurado un array de 6 x 8 TB en RAID 10 más un disco de spare, lo que da lugar a una capacidad útil de 24 TB. Para el sistema operativo, Proxmox Backup Server, se ha configurado un array de 2 x 500GB en RAID 10, lo que da lugar a una capacidad útil de 500 GB.
Acceso a la configuración de los arrays de discos en la controladora P840
Acceso al administrador de almacenamiento
Configuración del array de almacenamiento con 10 con 6 discos de 8TB en RAID10
Selección del disco de spare
Configuración del array para la instalación de PBS con dos discos de 500 GB en RAID10
Resumen de las dos unidades lógicas creadas
Selección de la unidad lógica de arranque
Arranque de Proxmox Backup Server en el nuevo server de backup
Inicio de sesión en Proxmox Backup Server
Una vez arrancado PBS ya es posible acceder a su configuración mediante la interfaz web. En primer lugar es necesario inicializar el volumen lógico de 24 TB que estará dedicado al almacenamiento de los backup.
Disco inicializado con GPT
Y una vez inicializado el volumen lógico es necesario crear el directorio donde se almacenarán los backup. El asistente para la creación del directorio ofrece la opción de añadir este directorio como un nuevo datastore.
Creación de un directorio de almacenamiento de backup
Directorio creado y añadido automáticamente como Datastore
Una vez creado el datastore es necesario configurar la tarea de “prune” o podado, que básicamente fija cuales son los backup que deben permanecer y cuales son los que deben ser eliminados mediante la tarea de “Garbage Collection” o recogida de basura. En este caso se ha optado por mantener el último backup, el último diario, el último semanal y el último mensual.
Configuración del “prune” en el datastore
También es necesario asignar un usuario con permisos de DatastoreAdmin a este datastore. Este usuario tendrá asignado un password y este usuario y password será utilizado por el cluster de ciberseguridad para escribir en el datastore.
Asignación de un usuario con el rol de DatastoreAdmin al nuevo datastore
Una vez configurado el datastore en el server de PBS es el momento de añadir un nuevo almacenamiento de tipo PBS en el cluster de Proxmox del cual se van a realizar los backup. Para añadir ese nuevo almacenamiento es necesario indicar la dirección IP donde se encuentra el server de PBS, el usuario y password con acceso al datastore y el nombre del datastore. También es necesario añadir un fingerprint o huella digital que se obtiene fácilmente en el server de PBS.
Añadir un nuevo almacenamiento de tipo pbs en el cluster de ciberseguridad
Nuevo almacenamiento de tipo pbs añadido al cluster de ciberseguridad
Una vez añadido el nuevo almacenamiento de tipo PBS ya se puede crear una tarea de backup sobre ese almacenamiento.
Tarea de backup sobre varias máquinas del nodo 2 y con almacenamiento en pbs
Tarea de backup en marcha
Backup de tipo pbs en el datastore del server de backup
Estado del datastore pbs-ziber
Este nuevo server de backup se conecta con los tres nodos del cluster de ciberseguridad mediante enlaces a 10 Gbps, a través de las correspondientes tarjetas de 10Gbp situadas en todos los server y mediante un switch del modelo TP-LINK TL-SX3008FX, el cual dispone de 8 puertos de tipo SFP+ a 1o GbE. Para la conexión física se ha optado, al igual que en otras ocasiones, por cables de tipo direct attach.
Finalmente, puesto que este cluster de ciberseguridad dispone de una conexión propia a internet y totalmente independiente de las conexiones a internet del instituto, la conexión con el correspondiente router se realiza a través de un puerto Gigabit Ethernet, mediante un cable de tipo UTP cat6. Para ello se ha unido uno de los puertos de tipo SFP+ con un puerto de tipo Gigabit de un switch no gestionado mediante un cable adaptador de tipo SFP+ a Ethernet. Desde este switch de tipo Gigabit también parte una conexión hacia uno de los puertos del firewall del instituto, un Fortinet 100F, y que está configurado para permitir el acceso de los alumnos al cluster de ciberseguridad e impedir cualquier tipo de conexión o ataque desde máquinas situadas en ese cluster a máquinas situadas en la red LAN del instituto.