[Ciotoflow] rete hackit 0x10: LAN, architettura e Servizi

Delete this message

Reply to this message
Autor: Giuseppe De Marco
Data:  
A: ciotoniflow, hacklab
Assumptes nous: [Ciotoflow] rete hackit 0x10: connessione internet
Assumpte: [Ciotoflow] rete hackit 0x10: LAN, architettura e Servizi
Forse sarebbe meglio un disegno... Vabè...

######### Media Lab - Sala Macchine #############

2 Server di frontiera, P4 con almeno 2GB di ram ( si accettano donazioni in RAM ), 4 Schede di rete a testa.

<Reti e cablaggi dei Servers>
Note: l'ordine di assegnazione và forzato, altrimenti al riavvio i cablaggi perdono coerenza, pertanto o funziona "/etc/udev/rules.d/70-persistent-net.rules" oppure si ricorre a script di boot.
Solo reti di massimo 254 computer (classe C), 254 - 1 (il server).

#PC1
eth0: 192.1.0.1, nome-rete: palestra-bar
eth1: 192.1.1.1, nome-rete: libreria-lanspace
eth2: 192.1.2.1, nome-rete: area-aperta-1

eth3: 192.1.3.1, nome-rete: uscita


#PC2
eth0: br0
eth1: br0
br0:  192.1.3.2, nome-rete:  uscita

eth2: 192.2.2.2, nome-rete: lanspace-cavo
eth3: 192.2.3.2, nome-rete: 

Nota su br0: Adopera SNORT come IPS
#PC2 è il gateway di PC1 nella rete uscita

palestra-bar, libreria-lanspace e area-aperta-1 vengono nattate nella rete uscita come 192.1.3.1
le reti opzionali di #PC2.eth2 e  #PC2.eth3 vengono nattate nella rete uscita come 192.1.3.2.

Alternativa possibile: Fare l'IPS su ogni Server - pro: bilanciamento di carico - contro: dobbiamo aggiungere un' altra scheda.

Sono necessari 2 UPS.

Cablaggi utp in metri: 40/45 metri per arrivare al tetto.


</Reti e cablaggi dei Servers>


Applicazioni Servers:
Polipo Proxy con CacheOnDisk      (rimuoviamo anche i banners/ads please ! :) )
dnsmasq come dhcp-server e DNS cache (cache-size=1000 -> 150 hosts, aumentiamo!)
NAT iptables con nat e redirect su polipo e dns
OpenVPN multiclient                      (da attivare solo su uno dei Servers)
SNORT IPS                                      (da attivare solo su #PC2)
pure-ftpd con accesso anonimo       ( da attivare solo su uno dei Servers )

Proposta:
Utilizzare vecchi Servers, es. dual p3 di verdebinario. Fare laboratorio di networking a verde per preparare e testare le macchine (tests doverosi prima del disastro !!!), macchine che sopportano bene tante schede di rete.

######## Rete Uscita ###########################
Dalle reti locali si raggiunge questa esclusivamente passando dall' IPS.

Questo segmento è popolato da tutti i Gateway per Internet, atm/wlan su rete variabile e eth0 192.1.3.x.

Gestione FailOver
/proc/sys/net/ipv4/route/gc_timeout (5 secondi) + script di controllo con ping (2 pckt) su host random (9 secondi)


######## Rete Area Aperta #######################
2 AccessPoint entrambi nella rete area-aperta-1 (192.1.2.0) 
192.1.2.2 (nome:AreaAperta1_2) verso Officine Babilonia/Moci/Albero
192.1.2.3 (nome:AreaAperta1_3) verso trincea/rotaia/stella cometa

dovrebbe farcela, speriamo che gli AP che usiamo siano in salute. Se necessitassimo di 500 connessioni nell'area aperta (!) dovremmo introdurre una nuova rete denominandola area-aperta-2...

Montati a muro dentro enclosure impermeabile (scegliere tra bottiglia o scatola di derivazione)

Cablaggi:

######## Aula Seminari #1 - Officine Babilonia ######
due dispositivi, uno per nat locale (rete 192.168.168.x) e un altro come client ap (192.1.2.4) verso rete area-aperta-1. Se facessimo NAT all'interno di Open-WRT sfruttando un'interfaccia virtuale ci risparmiamo un dispositivo.

253 computer nattati in area-aperta-1 dietro 192.1.2.4.
Cablaggi: minimi, ordinari.

######## Aula Seminari #2 - Palestra ###############
1 AP in rete palestra-bar (192.1.0.2), serve anche l'utenza del bar. 

Cablaggi utp in metri: 5 + 10 + 5 + 25 + 20 =  60 metri da verificare; dobbiamo arrivare dalla palestra al medialab.


######## Aula Seminari #3 - Libreria ###############
1 AP (192.1.1.2) montato sul pannello di legno che divide dal LAN Space, pertanto il segnale è condiviso con la sala adiacente.

Cablaggi utp in metri: 10 metri per arrivare al medialab.


######## Lan Space #############################
Rete 192.2.2.0, 252 computer connessi con cavo.
Rete wifi libreria-lanspace

Cablaggi utp in metri: 25metri per arrivare al medialab

Dispositivi:                  2 Switch da 24/48 porte da sistemare

##############################################

Note: i cavi vanno etichettati con lo scotch di carta, altrimenti grovigli impietosi

Nel medialab serve una scrivania, delle ciabatte. Nel lan Space ciabatte e una tavolata grande.
Sedie per i seminari ( oppure commissionare panche all'officina babilonia )