entorno ubicuo basado en virtualización para la docencia ...entorno ubicuo basado en...
TRANSCRIPT
Entorno ubicuo basado en virtualización para la docencia práctica de administración y gestión de redes
heterogéneas de computadores
Adolfo Albaladejo Blázquez 1, Antonio Hernández Sáez 1, Juan Antonio Gil Martínez-Abarca 1 y Francisco Maciá Pérez 2
1 Escuela Politécnica Superior, Universidad de Alicante Ap. 99 E-03080, Alicante, España,
{adolfo, ahs, gil}@eps.ua.es 2 Dpto. Tecnología Informática y Computación, Universidad de Alicante
Ap. 99 E-03080, Alicante, España, [email protected] [email protected]
Abstract. La docencia práctica en las asignaturas de gestión de redes de computadores y servicios de Internet viene limitada por la propia de disponibilidad e integridad del equipamiento y las infraestructuras de la red en las cuales se desarrollan y, debido a su propia naturaleza, la docencia práctica habitualmente entra en conflicto con las políticas de gestión y seguridad de los laboratorios que albergan estas infraestructuras. Este artículo presenta una actualización de un recurso docente presentado anteriormente y está basado en la implementación de un sistema operativo autoconfigurable sobre un dispositivo genérico de pequeño tamaño que proporciona un entorno de ejecución rico, estable y portátil el cual es independiente de las políticas de gestión de los laboratorios. Es especialmente válido para las prácticas de administración de redes. Este recurso se basa en las técnicas de sistema operativo autoconfigurable (Linux Knoppix) y hosts virtuales (VMware) para simular un escenario completo de red de computadores desde un único, pequeño y genérico dispositivo portátil, por ejemplo, un dispositivo USB de almacenamiento. Esta aproximación proporciona un recurso que el estudiante podría utilizar en su domicilio, objetivo en el nuevo Espacio Europeo de Educación Superior.
1 Introducción
La gestión de los laboratorios de prácticas docentes de las titulaciones de Ingeniería Informática y afines requiere definir políticas que establezcan un marco de convivencia entre las distintas titulaciones, asignaturas, departamentos, alumnos y profesores. Por desgracia, este marco también impone unos límites que condicionan muchas de las prácticas docentes que se deben desarrollar y que afectan a asignaturas que se salen de estos límites.
100 A. Albaladejo et al.
Éste es el caso de las asignaturas relacionadas con la administración de sistemas operativos y redes de computadores. Por un lado, la acción misma de administrar un equipo o una red entra en conflicto directo con las políticas de administración de los laboratorios, por el sencillo hecho de implicar tareas que se solapan total o parcialmente. Si en estas tareas de administración se incluyen, no sólo los computadores, sino también las propias infraestructuras de networking (condición necesaria si se pretende llevar a cabo prácticas realistas) e, incluso, los servidores que dan soporte a los laboratorios, el problema está servido; máxime si a todo ello le unimos que, en muchos de los casos, estas tareas se deben desarrollar desde cuentas de usuario con privilegios suficientes, incluidos los de superusuario.
Otro inconveniente asociado a las prácticas de sistemas operativos y redes de computadores es la necesidad de infraestructuras caras que difícilmente se justifican en este tipo de entorno por su especificidad —un PC será casi igualmente útil para un estudiante de informática que para otro de arquitectura; sin embargo, un firewall posiblemente sólo será útil para un estudiante de administración de redes o disciplinas muy afines.
Por las razones expuestas, las prácticas de administración de sistemas operativos y redes no suelen ser todo lo ambiciosas que debieran, no cubren muchas de las tareas que hoy en día se pueden considerar básicas para un administrador, no abarcan equipos de red fundamentales como enrutadores, conmutadores o servidores de red, y no abordan la heterogeneidad de sistemas operativos existentes en los entornos reales.
En este artículo se propone un entorno completo de red compuesto por equipos de sobremesa heterogéneos, servidores y dispositivos de networking basado en técnicas de host virtuales (VMware) y sistemas operativos autoconfigurables (Linux Knoppix). La propuesta permite disponer de todo un escenario de red a partir de un dispositivo portátil como un disco duro USB, pero integrado con las políticas de gestión e infraestructuras de los laboratorios. Este entorno, aunque simulado de cara al administrador, es funcionalmente idéntico al entorno real de cara a los alumnos.
El enfoque tiene la ventaja adicional de ser completamente transportable, por lo que el alumno puede utilizar el recurso docente de igual manera tanto en el laboratorio como en su casa, muy en consonancia con las directrices del Espacio Europeo de Educación Superior.
2 Estado actual
La gestión de los laboratorios de prácticas de informática suele ser muy similar en la mayoría de Centros de las Universidades [1], laboratorio docente coordinado por el Centro en el que el equipamiento existente es de propósito general.
Para garantizar la máxima disponibilidad, integridad y privacidad de la información de los equipos, la política de gestión de los laboratorios tiende a establecer, entre otras directrices [2], las siguientes: • Obligatoriedad de identificar, autenticar a los usuarios por parte del sistema de
gestión de identidad [2][3].
Virtualización para la Docencia en Administración de Sistemas 101
• Imposibilidad de modificar la configuración del hardware y software de los equipos e infraestructura de los laboratorios.
• Restricción y control de las comunicaciones entre clientes de laboratorio. Existen diversas herramientas de Linux que permiten a usuarios no privilegiados, ejecutar comandos con permisos administrativos y sin necesidad de conocer la contraseña del administrador: sudo y webmin son dos ejemplos.
El comando sudo presenta como principal característica la de permitir que usuarios no privilegiados ejecuten comandos con derechos administrativos; por otra parte, el uso de este comando aumenta la complejidad de la gestión de los laboratorios y, además, las acciones se ejecutan sobre el cliente de laboratorio, modificando su configuración y afectando a la integridad y, posiblemente, a la disponibilidad del equipo para otros grupos de prácticas. Otro inconveniente de sudo es su limitación para determinadas tareas muy habituales: sólo se pueden otorgar permisos de ejecución privilegiada a comandos, cuando en muchas de las ocasiones se precisa la modificación de archivos (por ejemplo, ficheros de configuración y recursos) [4], accediendo directamente a los mismos.
Webmin ofrece una interfaz Web con la que los alumnos pueden, sin necesidad de conocer la contraseña del usuario administrador, realizar las tareas de las prácticas de administración con los privilegios adecuados. El inconveniente de este tipo de aplicaciones es que, además de afectar a la integridad del cliente de laboratorio, la interfaz que se ofrece al alumno no es la interfaz real con la que se desarrolla el trabajo de un administrador.
Fig. 1. Escenario de ejemplo mediante la técnica de hosts virtuales
Para integrar estas prácticas con las políticas de gestión de los laboratorios, de forma que no afecten a la configuración de los clientes, se están empleando técnicas basadas en la creación de sistemas ubicados en un CD de inicio, y que generalmente se conocen como Live-CD donde Knoppix es un buen ejemplo [5]. Las ventajas que introduce el uso de este tipo de estrategias son, por una parte, su fácil migración a otros equipos de trabajo —domicilio del alumno, aulas de acceso libre u otros
Host Real PC del Alumno
Router/Firewall Virtual
Virtual HUB
Virtual Win98 Virtual WinXP Virtual Linux
Virtual HUB
Virtual HUB
102 A. Albaladejo et al.
laboratorios— y, por otra, inicia una plataforma software completa, posiblemente diferente de la alojada en las unidades de almacenamiento locales, e independientes entre ellas.
Sin embargo, este enfoque sólo facilita la realización de prácticas basadas en un equipo y no asegura la integración con las políticas de gestión de más alto nivel o con servicios de red como seguridad y autenticación.
Otro enfoque habitual para la realización de las prácticas de administración es el uso de software de virtualización, como por ejemplo, VMware [6], Virtual Server de Microsoft o User Mode Linux (UML) [7][8][9]. Esta posibilidad permite administrar equipos, en este caso virtuales, con todos los permisos de administrador sin afectar a las configuraciones de los clientes de laboratorio y añade dos características importantes: • Creación de un entorno de red completo compuesto por hosts y dispositivos de
networking (figura 1). • Configuración de entornos de red heterogéneos (por ejemplo, basados en Linux y
Windows), en el caso de VMware y Virtual Server. El principal inconveniente de esta estrategia es que se ve muy limitada por su poca portabilidad —el alumno debe instalar y configurar el equipo de casa tal y como se ha realizado en los laboratorios para que el entorno de trabajo sea el mismo. Este inconveniente es importante si se tiene en cuenta que el nuevo Espacio Europeo de Educación Superior fomenta el trabajo del alumno en su propio domicilio.
Si se exceptúan las aplicaciones del estilo de Webmin, cada una de las soluciones planteadas aporta una característica que se complementa con las ofrecidas por el resto. Así, los dispositivos portátiles como los discos duros USB permiten construir un sistema completo, robusto, transportable y que, además, se puede integrar fácilmente en las especificaciones que establece el servicio de laboratorios del Centro solventando la imposibilidad de guardar el estado, las configuraciones y el trabajo desarrollado en las estrategias basadas en Live-CD [10] [11].
Por último, es necesario resolver los problemas que surgen debido a la necesaria integración con las políticas de gestión y control de acceso a los equipos de los laboratorios teniendo en cuenta que éstas no estarán presentes en cualquier otra ubicación, como el domicilio del alumno. Para ello se integrará un código ad hoc que permita identificar y autenticar a los usuarios utilizando los módulos PAM (Pluggable Authentication Modules) y el servicio de directorio LDAP, registrar su entrada utilizando el sistema de información del Centro y establecer los criterios de seguridad aplicables tanto para los hosts anfitriones como para la red del laboratorio con los protocolos IEEE 802.1x y RADIUS para el control del acceso a la misma [12].
3 Nuestra propuesta
Para la realización de prácticas de administración de sistemas operativos y redes, teniendo en cuenta la problemática presentada y las propuestas actuales que más se acercan a nuestras necesidades, la solución que propongamos debe contemplar los siguientes requerimientos:
Virtualización para la Docencia en Administración de Sistemas 103
• Integración con las políticas de gestión de los laboratorios docentes. • Provisión a los alumnos de un entorno de trabajo en el que se pueda, en cada
puesto de trabajo, simular una pequeña red donde se ejecutarán los servicios de red y sistemas operativos a administrar.
• Capacidad para simular redes heterogéneas reales, donde existan clientes de distintos tipos, y no sólo Linux.
• Fácil reproducción de los entornos de prácticas en equipos ajenos a los laboratorios docentes, de forma que el alumno pueda completar su formación sin limitación de horarios y disponibilidad de laboratorios.
La utilización de Knoppix y VMware permite abordar con éxito los requerimientos anteriores e introduce la posibilidad de proporcionar clientes tanto Linux como Windows para construir un entorno heterogéneo, enfoque que sí virtualiza las redes reales donde coexisten distintos sistemas operativos en la misma red. Este enfoque se puede materializar en varios recursos: • Dispositivos USB con el entorno precargado con Knoppix y VMware, donde las
imágenes de los sistemas operativos clientes se obtienen vía NFS de servidores del Centro (figura 2).
• Dispositivos USB con el entorno precargado con Knoppix, VMware y las imágenes de los sistemas clientes, en este caso incluidas en el mismo soporte.
Fig. 2. Escenario de prácticas integrado en el laboratorio
Finalmente, para adecuar el entorno propuesto a las políticas de gestión y control de acceso de los laboratorios, se ha integrado un código ad hoc existente de una implementación anterior sobre Live-CD [10] [11] que proporciona las siguientes funcionalidades:
Campus Universidad (red TCP/IP)
Router/Firewall
Internet Host Real PC del Alumno
Switch del Centro
ServidorDHCP, DNS,
REPOSITORIO
Servidor Correo,
Web
Router/Firewall Virtual
Virtual Switch
Virtual Switch
Virtual Switch
Virtual Win98 Virtual WinXP Virtual Linux
Dispositivo USB con Knoppix + VMware
104 A. Albaladejo et al.
• Identificar y autenticar a los alumnos mediante la adecuada configuración de los módulos PAM para que se deleguen estas acciones en el servicio de directorio del Centro donde se almacenan las cuentas de los alumnos.
• Registrar la entrada al sistema del alumno insertando la información adecuada en el sistema de información del Centro.
• Establecer los privilegios de los usuarios según la política de seguridad. En el entorno que se propone, por tanto, se dispondrá de una distribución Knoppix a la que se le añadirán las utilidades de VMware y el módulo de integración con las políticas desarrollado por el Centro (figura 3). Así, para la realización de las prácticas, los alumnos iniciarán el cliente de laboratorio con el entorno proporcionado que dispone de la distribución anterior para construir su red según las necesidades de la práctica y limitado sólo por la capacidad del hardware del host anfitrión.
Por otra parte, para poder gestionar el router de la red creada, se necesita ejecutar los comandos de red con derechos administrativos en el host anfitrión. Para respetar la política de gestión de los laboratorios y que aún así los alumnos puedan realizar estas tareas, se deberá instalar y configurar apropiadamente el comando sudo, limitando las acciones que, sobre el equipo real de laboratorio, los alumnos pueden realizar y minimizando riesgos en el equipo real de trabajo.
Por último, se debe destacar que este entorno ya no está limitado por la imposibilidad de escritura que se presenta al realizar el sistema con una distribución Live-CD. Si se realizan distintas configuraciones virtuales, se deberá disponer de un sistema de archivos con capacidad para guardar los cambios en las imágenes de los clientes. El Centro proporcionará las imágenes y el procedimiento necesario con el que, tras identificarse correctamente, se pueda realizar la correcta instalación y validación del entorno en los dispositivos USB así como almacenar y recuperar las imágenes de los clientes, independientemente de dónde estén trabajando.
Fig. 3. Módulos principales del enfoque propuesto
En resumen, la propuesta que se presenta en este artículo consiste en la integración de varias de las tecnologías analizadas en el segundo apartado —Knoppix, VMware y, en menor medida, sudo— junto con software específico integrado en las PAM para solventar los problemas de integración con sus políticas de gestión y control de acceso a los equipos de las aulas.
Se ha realizado un esfuerzo para conseguir que el entorno final a instalar en el dispositivo USB no precise de una capacidad de almacenamiento excesiva de forma que en la actualidad la solución sea operativa para cualquier alumno o profesor que lo solicite, respetando en todo momento las licencias VMware.
Linux Knoppix
(USB)
VMware
Integración laboratorios (Login + PAM +
LDAP + MySQL + IEEE 802.1x)
Virtualización para la Docencia en Administración de Sistemas 105
4 Aplicación en la docencia práctica
La administración de redes de computadores en general, y de Internet en particular, ha sufrido una inevitable evolución tanto en la complejidad de las mismas como en la heterogeneidad de los sistemas que las componen. Además, se han introducido nuevos elementos, más sofisticados e interrelacionados que deben ser contemplados de forma intrínseca en los nuevos enfoques de gestión de las tecnologías de la información y las comunicaciones.
Entre estos elementos destacan las plataformas middleware como nuevo soporte de servicios, las aplicaciones y servicios Web como nuevos modelos de interconexión y todos los servicios de red básicos, tanto hardware como software, necesarios para el desarrollo de las actividades cotidianas.
Las prácticas docentes sobre la gestión de estos recursos deben ser consecuentes con la actual situación e incorporar escenarios realistas en los que se entremezclarán inevitablemente diversas tecnologías, herramientas y metodologías; a ser posible, dentro de marcos establecidos por estándares abiertos. La finalidad de estas prácticas deberá incluir los siguientes aspectos: • Aprender principios y prácticas de las tecnologías y arquitecturas de red, así
como protocolos y servicios de nivel de aplicación. • Aprender a diseñar, implantar y configurar servicios de red, desde los
considerados básicos [4], como el servicio de nombres (DNS), el servicio de configuración de red dinámico (DHCP) y sesiones remotas seguras (SSH), hasta los más sofisticados como el servicio de correo, Web, sistemas de archivo remoto y de aplicaciones.
• Adquirir las aptitudes necesarias para el diseño y desarrollo de un proyecto de implantación de servicios de red.
A partir del entorno propuesto en este trabajo se pueden plantear prácticas muy diversas que abarquen un amplio conjunto de necesidades. El escenario desarrollado permite que el alumno pueda realizar todas las tareas básicas que se engloban dentro de las funciones convencionales de un administrador de redes de computadores, igual que lo haría en un entorno real y con la diversidad de sistemas clientes que se va a encontrar en su trabajo.
La ventaja adicional del enfoque propuesto, desde el punto de vista práctico, es que el recurso docente presentado es respetuoso con las infraestructuras físicas de los laboratorios en los que se llevan a cabo las prácticas, y además, está integrado en las políticas de seguridad y gestión del Centro.
4.1 Entornos de red complejos
La realización de prácticas completas sobre administración de redes implica la gestión, ya no sólo del equipo del alumno, sino de otros equipos de la red y de los propios dispositivos de networking que la conforman. En este caso, tomando como referencia el entorno virtual propuesto en la figura 2, cada alumno debe ser capaz de configurar sus interfaces de red y crear las tablas de rutas de cada equipo.
106 A. Albaladejo et al.
En nuestro caso, realizamos prácticas enfocadas a proporcionar seguridad a la red virtual local creada y a los servicios implementados, protegiéndola de posibles amenazas del exterior —que en este caso es la propia red del laboratorio— con la implementación y configuración de una arquitectura de cortafuegos. Si nuevamente se toma como referencia la configuración de red planteada en la figura 2, gracias al entorno virtual propuesto, se puede realizar una práctica completa sobre cortafuegos. Ésta consiste en el establecimiento de políticas de seguridad y en la realización de los filtros de entrada, salida y reenvío en el host anfitrión así como de NAT y DNAT con el objetivo de controlar la entrada y salida del tráfico de la red del laboratorio a la virtual y viceversa acordes con las políticas definidas.
Otra de las prácticas propuestas en el ámbito de la seguridad en red es la configuración de uno de los clientes como un host bastión mediante la instalación y configuración de un servidor proxy (squid) e implementando, de esta forma, la configuración de cortafuegos de host seleccionado [13]. Fuera del ámbito de la seguridad, se pueden realizar prácticas de routing, servicios de red básicos, QoS, etc.
4.2 Gestión de servicios de red
En el nivel de aplicaciones y servicios de red, el escenario también se muestra adecuado para realizar prácticas de instalación y configuración de servicios de red (como por ejemplo: DHCP, DNS, LDAP, Web o correo electrónico) que se pueden considerar bien por separado, como práctica autocontenida, bien enfocada a la ejecución de un proyecto de servicios de red en el que los alumnos deban diseñar, instalar, configurar y probar un conjunto de servicios en los clientes virtuales e ir integrándolos. Así, tras la configuración del DHCP y DNS, se propone la integración de ambos pasando los datos de asignación de IPs del servidor DHCP al de DNS. De igual forma, se realizan prácticas de configuración de la seguridad Web o la del correo SMTP basada en servidores de directorio tipo LDAP o Active Directory.
Asimismo, con respecto a la práctica de DNS, tomando la red del laboratorio docente en la que se realizan las prácticas como ISP que nos proporciona acceso a Internet, se puede conseguir que cada alumno tenga delegado el dominio que solicite, configurando su servidor DNS como la autoridad de la zona asignada y utilizando como servidor raíz DNS el del equipo del laboratorio que está destinado al uso del profesor de prácticas —responsable, a su vez, de configurar un servidor DNS que tenga asociada dicha funcionalidad.
A partir del dominio DNS delegado en prácticas anteriores, el alumno deberá instalar y configurar un servidor de correo. Para completar esta práctica, el alumno instalará y configurará los servicios de POP3 e IMAP que permitan acceder a los buzones de correo de forma remota. En este caso el entorno permite a cada alumno realizar todas las tareas que implican multitud de clientes y servidores de red.
Virtualización para la Docencia en Administración de Sistemas 107
5 Conclusiones
Con el entorno de trabajo presentado los alumnos adquieren tanto un buen conocimiento de las tareas típicas de administración de redes de computadores y servicios de Internet, como conciencia del entorno de trabajo en el que tiene que ser capaz de desenvolverse.
No debe olvidarse que, aunque el entorno de trabajo es virtual, todas las tareas que sobre él se ejecuten son absolutamente reales, tanto si se actúa administrando un único equipo, como si se hace sobre un complejo entorno de red. Este aspecto acerca al alumno a la realidad de los entornos de producción que se encontrará en el futuro.
El entorno de trabajo de la propuesta, al estar ubicado en un dispositivo genérico USB de almacenamiento, hace que sea robusto, fácil de transportar e inmediato de reproducir en otros entornos: por ejemplo, otros laboratorios con equipos libres, el portátil del alumno o el equipo de sobremesa de su casa, lo que facilita el desarrollo de trabajo personal, apoyado en las directrices de los nuevos planes de estudio para la convergencia europea [14]. La universidad presencial actual se encuentra con que cada vez más, sus estudiantes poseen sus propios computadores (en casa o portátiles) con posibilidad de conexión en red (wireless, LAN y conexión residencial cada vez con mayor ancho de banda) y con la esperanza de que se conviertan en una herramienta útil en su preparación universitaria a todos los niveles, incluso en la docencia práctica.
Por otro lado, estamos trabajando en la incorporación de la posibilidad de disponer de imágenes base remotas a las que se conectase el entorno presente en el dispositivo USB de forma que únicamente se almacenasen en el dispositivo los cambios realizados durante las sesiones de prácticas con el consiguiente ahorro de espacio en el sistema de ficheros del dispositivo. Además, otra línea de investigación consistiría en almacenar el estado de las máquinas virtuales de la misma forma que cuando se realiza la acción Suspender de un sistema operativo cualquiera y ser capaces de cambiar el dispositivo USB a otro host anfitrión y disponer de la misma máquina virtual en el mismo estado que se encontraba anteriormente sin necesidad de tener que apagar y volver a arrancar todas las máquinas virtuales utilizadas.
También trabajamos en la integración de un sistema de encriptación tanto de las imágenes y sus modificaciones como de la información sensible que pueda haber almacenado el usuario en el dispositivo con el objetivo de salvaguardar su integridad y privacidad. Una vez realizada esta integración, el siguiente paso consistirá en la generalización del entorno de forma que el Centro proporcionaría la posibilidad de personalización completa del mismo para cada alumno con su propio perfil, imágenes e información incluso según las asignaturas en que esté matriculado y, de esta forma, poder utilizar los equipos de los laboratorios únicamente como terminales que ofrezcan la capacidad de cómputo y conexión a la red necesarias.
108 A. Albaladejo et al.
Referencias
1. Ginés, F. et al, "Laboratorios docentes de la Facultad de Informática de la UCM: un modelo para la gestión integrada de aulas informáticas", Actas I Jornada Campus Virtual Universidad Complutense de Madrid, 2004
2. "Normativa de uso de los laboratorios de la Escuela Politécnica Superior, Universidad de Alicante”.
3. Albaladejo, A. et al, "Diseño de sistemas de información. Un caso práctico", Actas de las I Jornadas sobre desarrollo de grandes aplicaciones de gestión de redes (JDARE 2004), 2004
4. Maciá, F. et al, "Intranets de Gestión de Red", Ed. Universidad de Alicante, 2000 5. http://www.knoppix.net/ 6. http://www.vmware.com/ 7. http://user-mode-linux.sourceforge.net/ 8. Vollrath, A. et al, "Using virtual machines for teaching system administration", Journal of
Computing Sciences in Colleges, Vol, No 20., 2004 pp 287-292 9. Galán, F. et al, "Use of virtualization tools in computer network laboratories", Fifth Int.
Conf. on Information Technology Based Higher Education and Training ITHET 2004, 2004
10. Gil, J. A. et al, "Entorno de red virtual para la realización de prácticas realistas de Administración de Sistemas Operativos y Redes de Computadores", XI Jornadas de la Enseñanza Universitaria de la Informática JENUI 2005, 2005
11. Mora, F. J. et al, “Recurso ubicuo de redes heterogéneas de computadores basado en técnicas de virtualización”, ICECE 05 (Internacional Conference on Engineering and Computer Education) Madrid, 2005
12. Albaladejo, A. et al, "Infraestructuras para el desarrollo e implantación de aplicaciones de red escalables", Actas de las I Jornadas sobre desarrollo de grandes aplicaciones de gestión de redes (JDARE 2004), 2004
13. Cheswick, W. et al, "Firewalls and Internet Security", Ed. Addison-Wesley, 2003 14. ANECA, "Los estudios de informática y la convergencia europea", 2004