Server Farm: un ambiente dedicato alla rete e non solo…

Server Farm: un ambiente dedicato alla rete e non solo…

Internet fisicamente cos’è?

Dalla prevenzione dei guasti alla manutenzione dei sistemi

E-mail, web, www, http e https, VoIP, streaming video, sono un po’ dei tanti termini che ogni giorno vediamo, sentiamo e usiamo quando, con il nostro personal computer navighiamo su  internet. Per tutti noi non passa giorno che non sia scandito da e-mail ricevute e da siti visitati. Internet in sostanza è un ottima cosa, ma come farà mai a funzionare? Bhe vi sono un sacco di aspetti da analizzare, tuttavia voglio concentrarmi su un fattore importantissimo “le case di internet”. Abbiamo visto, pocanzi, alcuni termini che identificano dei servizi come la posta elettronica o i siti web. Questi elementi sono resi disponibili da quello che viene definito ISP, Internet Service Provider. Quest’ultimo per poter fornire a tutti coloro che navigano dei contenuti, è obbligato a mantenere attivi dei computer, un pochino più evoluti di quelli presenti nelle nostre case, che prendono il nome di servers, per 24 ore al giorno in modo corretto. Per questo motivo tutti i Provider sono costretti a concentrare le macchine in stanze apposite con impianti per la continuità elettrica, per il controllo della temperatura dell’aria ed infine per la connessione ad internet.
La gestione della corrente elettrica è fondamentale, se mancasse quella tutto sarebbe offline, per questo motivo ci sono persone, a volte abbastanza paranoiche, che studiano gli impianti elettriciin modo che se si dovesse guastare un componente tutto continui a funzionare. Sempre parlando di elettricità, un altro fattore da non sottovalutare è il Black-Out che può avvenire banalmente in caso di maltempo. Ecco che allora è necessario avere un sistema di continuità e produzione della corrente slegato dalla rete elettrica nazionale. Tale sistema è identificato negli UPS (Unit Power Supply) e nei Motogeneratori.
Uno svantaggio dei calcolatori nello svolgere la loro funzione è quello di produrre un sacco di inutile calore. Il 99% della corrente assorbita finisce in calore, come se il server fosse una stufetta elettrica, solo l’1% della corrente è utilizzato per il calcolo! Per questo motivo è necessario predisporre la stanza con delle unità condizionanti studiate ad hoc per avere i servers, i routers, e tutti gli altri componenti hardware in piena efficienza.
Infine il collegamento ad internet, lasciato per ultimo, ma importante tanto quanto gli altri componenti della sala server.  Il collegamento dovrà essere molto performante per permettere agli utenti che intendono scaricare i contenuti di poterli avere in tempi celeri. Di fatto le nostre ADSL di casa hanno velocità di download elevate e capacità di inoltrare i dati su internet più basse. Il collegamento di una sala macchine dovrà essere esattamente l’opposto, avere velocità molto elevate verso gli utenti e dovrà garantire uno stato di servizio del 100% per tutto il tempo di funzionamento. Per questo motivo la tecnologia attuale più adatta a questo tipo di servizi è la fibra ottica.
Da tutto questo capiamo che lo stato di servizio è il fattore chiave sul quale un ISP basa la sua vita. Per questo motivo tutti i sistemi, fatti di ferro, abilmente configurati e collegati tra di loro, compongono la sala macchine, e devono collaborare tra di loro in modo perfetto. Di fatto un’entità virtuale come internet possiede anch’essa una forma e una dimensione. Una concretezza che rende tutti i sistemi soggetti a guasti e pertanto devono essere tenuti sempre in piena forma nelle loro apposite strutture.

LACP NETAPP 2240 e CISCO 3750G

Procedura per la configurazione delle porte in LACP tra due switch Cisco 3750G e un NETAPP FAS2040-2. Questa configurazione di rende necessaria per arrivare ad avere un bilanciamento di traffico sulle 4 porte di rete del NETAPP. Questo tipo di implementazione viene usata normalmente per ottenere oltre alla ridondanza dei link anche la maggior performance possibile. Molto utile quando si utilizza un protocollo come NFS o iSCSI tra lo storage e i server applicativi o di virtualizzazione. Fondamentale è avere due switch in stack tra di loro con l’apposito cavo di stack

port-channel load-balance src-dst-ip
!
spanning-tree mode pvst
spanning-tree extend system-id
!
system mtu routing 1500
system mtu jumbo 9000
!
!
interface Port-channel1
 description LACP multimode VIF for netapp1
 switchport access vlan 64
 switchport mode access
 load-interval 30
!
!
interface GigabitEthernet1/0/3
 description NETAPP C1P1
 switchport access vlan 64
 switchport mode access
 load-interval 30
 channel-protocol lacp
 channel-group 1 mode active
!
interface GigabitEthernet1/0/4
 description NETAPP C1P2
 switchport access vlan 64
 switchport mode access
 load-interval 30
 channel-protocol lacp
 channel-group 1 mode active
!
!
interface GigabitEthernet2/0/3
 description NETAPP C1P3
 switchport access vlan 64
 switchport mode access
 load-interval 30
 channel-protocol lacp
 channel-group 1 mode active
!
interface GigabitEthernet2/0/4
 description NETAPP C1P4
 switchport access vlan 64
 switchport mode access
 load-interval 30
 channel-protocol lacp
 channel-group 1 mode active
!

La configurazione sul netapp è la seguente:























































Diminuire gli attacchi alla propria rete tramite Null Route

Diminuire gli attacchi alla propria rete tramite Null Route; approntiamo una strategia di sicurezza della propria rete in modo attivo tramite Null Route. Questa idea sfrutta il principio del blackholing, manderemo quindi tutto il traffico diretto a una lista di reti ben distinte e identificate come dannose verso Null. So perfettamente che non è nulla di nuovo, tuttavia propongo questa soluzione dopo averla implementata per limitare gli attacchi alla rete che gestisco. Ultimamente gli attacchi ai CMS continuano ad aumentare, per questo motivo mi sono deciso ad attivare una struttura basata su BGP che sia in grado di aggiornarsi automaticamente diverse volte al giorno e bloccare il traffico delle reti insicure. Una forma di autodifesa perimetrale della rete di produzione. Analizziamo cosa sta alla base di questo sistema, l’idea è di usare delle liste di rotte provenienti da fonti antispam. Con queste liste opportunamente inserite da script in un server con installato quagga, si implementano le rotte verso Null necessarie. Quagga, un software installabile in ambienti linux, è in grado di generare un router virtuale cisco like nel sistema operativo che può instaurare delle sessioni BGP con i border router della nostra rete. In questo modo il sistema Quagga è in grado di rilasciare le rotte che opportunamente trattate da route-map manderanno il traffico verso un’interfaccia loopback che dirigerà, a sua volta, il traffico verso null. Il beneficio di quest’operazione è portato dalla mancata risposta al potenziale aggressore. Ulteriore vantaggio è il blocco delle connessioni scaturite da host già compromessi atte a scaricare componenti di codice malevolo in fase di preparazione degli attacchi. Le difficoltà in questo tipo di soluzione è scovare delle fonti sufficientemente ricche e con frequenti aggiornamenti da poter maneggiare per ottimizzare i blocchi.

Il sistema alla fine si presenterà come nel seguente grafico

Schema quagga protezione su border routers

Le fonti con cui ho deciso di lavorare sono le seguenti:

  • Spamhaus
  • blocklist.de
  • team-cymru.org

Per il funzionamento del sistema in automatico è necessario scrivere del software di automazione per l’aggiornamento delle rotte installate in quagga.
La configurazione da usare sui router di border sono le seguenti:

!
! Interfaccia Loopback per maneggiare in routing il traffico non desiderato
interface Loopback0
 ip address 172.26.0.1 255.255.255.255
!
! Configurazione della parte BGP tra il border router e Quagga
router bgp XXXXX
 redistribute static route-map blackhole
 neighbor [QUAGGA IP NEIGHBOR] remote-as 65249
 neighbor [QUAGGA IP NEIGHBOR] description QUAGGA
 neighbor [QUAGGA IP NEIGHBOR] ebgp-multihop 255
 neighbor [QUAGGA IP NEIGHBOR] update-source GigabitEthernet0/1
 neighbor [QUAGGA IP NEIGHBOR] version 4
 neighbor [QUAGGA IP NEIGHBOR] soft-reconfiguration inbound
 neighbor [QUAGGA IP NEIGHBOR] prefix-list no-out out
 neighbor [QUAGGA IP NEIGHBOR] route-map bgpf in
!
! Rotta per mandare il traffico non desiderato verso NULL
ip route 172.26.0.1 255.255.255.255 Null0
!
! Prefix list per prevenire la propagazione di prefissi non desiderati sulla sessione BGP con QUAGGA
ip prefix-list no-out seq 10 deny 0.0.0.0/0
!
! Route map per far si che il traffico intercettato venga rediretto verso nulla con priorità massima
route-map bgpf permit 10
 description border blackholing
 set local-preference 600
 set ip next-hop 172.26.0.1
!

Per quanto concerne il funzionamento degli script di automazione non sono ancora in grado di rilasciarli, per necessità scrivetemi