Enunciats de Projectes Final de Curs (ASIX)

Clica el títol de cada projecte per veure l’enunciat complet.

PROJ_ASIX_7 - “Mini-SOC d’un centre”: detecció, resposta i intel·ligència d’amenaces

Seguretat Dificultat: 9/10

Muntar un SOC operatiu amb correlació, alertes, resposta i triatge.

Som l’Institut Delta amb:

  1. molts usuaris (professorat, administració i alumnat),
  2. xarxa gran (Wi-Fi, aules, departaments),
  3. alguns servidors interns (Moodle, intranet, fitxers, correu o serveis equivalents),
  4. i un equip informàtic petit.

Ens passen coses típiques:

  1. intents d’entrada per força bruta a serveis (SSH/RDP),
  2. correus de phishing,
  3. ordinadors amb malware o comportaments estranys,
  4. connexions sospitoses cap a fora,
  5. i sobretot, ens falta visibilitat: no sabem què passa fins que ja és tard.

El que necessitem és un Mini-SOC: un sistema que reculli informació, detecti coses sospitoses, ens avisi i ens ajudi a gestionar incidents de forma ordenada.


Volem que ens munteu una solució que permeti:

Recollir logs i esdeveniments

  1. Dels servidors i equips.
  2. Del trànsit de xarxa (sensor).
  3. I que estigui centralitzat, no dispers.

Detectar incidents habituals

  1. Bruteforce (SSH/RDP), escanejos, intents d’explotació web,
  2. Malware (indicis), execució sospitosa, canvis crítics,
  3. Dominis/URL sospitoses (phishing).

Alertar i prioritzar

  1. No volem 1.000 alertes inútils.
  2. Volem severitats (alta/mitjana/baixa) i criteris clars.

Gestionar incidents com cal

  1. Que quan hi hagi una alerta important, es converteixi en un cas:
  2. assignat a algú,
  3. amb tasques,
  4. amb proves i línia temporal,
  5. i amb un tancament final.

Enriquir amb intel·ligència d’amenaces

  1. Si apareix un domini/URL/hash, volem saber si és conegut com a maliciós.
  2. Volem poder guardar i reutilitzar IOCs (indicadors).

Tenir evidències i documentació

  1. Per demostrar què ha passat i què s’ha fet.
  2. I per repetir el procés la propera vegada.


PROJ_ASIX_22 - Xarxa Hospitalària d’Alta Disponibilitat (HA + continuïtat assistencial)

Xarxes Dificultat: 9/10

Hospital comarcal amb serveis crítics (HIS, radiologia, laboratoris). Qualsevol tall impacta pacients. Necessiten redundància, monitoratge, traçabilitat i procediments.

Som un hospital comarcal amb urgències, consultes externes i administració. Treballem amb sistemes que, si fallen, afecten directament pacients (visites, proves, medicació, etc.).

Hem tingut incidències:

  1. Si cau la sortida a Internet o el gateway, es para mig hospital.
  2. Si cau un servidor, alguns serveis deixen de funcionar i la gent no sap què fer.
  3. No tenim prou monitoratge ni procediments: el problema es detecta tard i es resol “a ull”.

Per això volem una xarxa i uns serveis que siguin:

  1. Redundants (si falla una peça, hi ha una altra que aguanta)
  2. Segurs (no pot entrar tothom a tot)
  3. Controlats (logs i alertes)
  4. Documentats (procediments clars per actuar ràpid)

Volem que ens dissenyis i muntis una infraestructura que garanteixi:

  1. Alta disponibilitat del gateway (sortida de xarxa) → que si un router/firewall cau, l’altre segueixi.
  2. Alta disponibilitat de serveis crítics (web/intranet, BD i correu segur).
  3. Segmentació per zones (clínica, administració, convidats, servidors, DMZ…) per seguretat.
  4. Monitoratge + alertes + logs per detectar problemes i respondre.
  5. Backups + prova de restauració.
  6. Una demo de fallades (failover) amb evidències: “cau això i segueix funcionant”.

PROJ_ASIX_23 - Defensa Corporativa: NDR + SIEM + Resposta a Incidents

Xarxes Dificultat: 9/10

Empresa de serveis amb dades sensibles i teletreball. Han patit phishing i moviment lateral. Volen detecció, correlació i resposta.

Som una empresa de serveis digitals amb dades sensibles de clients. Tenim:

  1. 2 oficines (Barcelona i Girona) i gent fent teletreball.
  2. Servidors interns (web/intranet, fitxers, BD).
  3. Wi-Fi corporatiu i Wi-Fi convidats.

Hem tingut incidents com:

  1. Phishing (roben credencials).
  2. Escanejos de ports des d’Internet.
  3. Alguns intents d’entrada per SSH (brute force).
  4. Quan passa alguna cosa, els logs estan separats i és difícil investigar.

Objectiu: volem un sistema que ens permeti detectar, investigar i respondre a incidents de xarxa, com si tinguéssim un SOC (Security Operations Center) petit.


Volem que ens muntis un entorn que faci això:

  1. Capturar i analitzar trànsit de xarxa per detectar activitats sospitoses.
  2. Centralitzar logs en un lloc (SIEM) per buscar i correlacionar events.
  3. Crear alertes i dashboards per veure “què està passant”.
  4. Quan hi hagi una alerta, gestionar-ho com un incident real (cas, tasques, evidències).
  5. Fer una demo amb atacs controlats per demostrar que el sistema funciona.

PROJ_ASIX_26 - Xarxa Industrial OT/IT: segmentació, detecció i forense (ICS/SCADA en lab)

Xarxes Dificultat: 9/10

Fàbrica amb PLC/SCADA i xarxa d’oficina. Volen separar OT i IT, detectar intrusions i tenir un procediment de resposta sense aturar producció.

Som una fàbrica d’envasat amb línies automatitzades. Tenim dos mons:

  1. IT (oficina): PCs, servidors, correu, ERP, gestió.
  2. OT (planta): PLCs, HMI, sistemes de control (SCADA), sensors… (això controla la producció).

El problema és que:

  1. IT i OT estan massa connectats (o mal separats).
  2. Els proveïdors entren a fer manteniment remot i no sempre queda controlat ni registrat.
  3. No tenim visibilitat del trànsit OT, ni alertes.
  4. Ens preocupa molt un ransomware: comenci a IT i acabi afectant la planta.

El nostre objectiu principal és la continuïtat:

No podem parar la planta perquè “s’està investigant”. Necessitem seguretat sense aturar producció.


Volem que ens preparis un entorn (encara que sigui de laboratori) que simuli una fàbrica real i que inclogui:

  1. Arquitectura OT/IT ben separada amb zones i una DMZ industrial.
  2. Regles de firewall estrictes (mínim privilegi).
  3. Accés remot segur per manteniment (VPN + bastió) amb registres.
  4. Detecció i visibilitat (Zeek/Suricata) + captures PCAP per evidències.
  5. Procés d’incident: quan hi ha un atac, recollim evidències, fem timeline i responem.
  6. Una demo d’un incident simulat on es vegi tot el flux (detecció, anàlisi, resposta).

PROJ_ASIX_11 - “Clínica compliant”: protecció de dades, traçabilitat i accés per rols (GDPR)

Seguretat Dificultat: 8.5/10

Desplegar serveis clínics amb confidencialitat, integritat, traçabilitat i governança.

Som la Clínica MarBlava, una clínica petita (35 treballadors). Gestionem dades molt sensibles:

  1. dades personals (nom, DNI, telèfon, adreça)
  2. dades de salut (diagnòstics, informes, tractaments)
  3. cites i historial mèdic.


Ara mateix tenim problemes:

  1. alguns usuaris comparteixen credencials (molt malament),
  2. no tenim clar qui ha accedit a cada expedient
  3. ens preocupa una possible bretxa de dades (filtració) o un accés indegut.

Necessitem que ens munteu un sistema que ens ajudi a complir el mínim de protecció de dades (GDPR): control d’accés, traçabilitat, seguretat i capacitat de resposta si passa alguna cosa.

Volem que la solució ens garanteixi:

  1. Accés per rols (RBAC)
  2. Recepció: gestionar cites i dades bàsiques, però NO veure diagnòstics.
  3. Metges/infermeria: veure i editar informació clínica.
  4. Direcció: informes i gestió (sense accedir a salut si no cal).
  5. IT: administrar sistema però amb control i traçabilitat.
  6. MFA per a perfils sensibles
  7. Admins i metges han d’entrar amb doble factor (app de codis).
  8. Traçabilitat (auditoria)
  9. Volem poder respondre a preguntes com:
  10. Qui ha accedit al pacient X?
  11. Quan?
  12. Des de quin usuari / IP?
  13. Quines accions ha fet?
  14. Seguretat de la plataforma
  15. Comunicació xifrada (HTTPS).
  16. Servidors actualitzats i endurits.
  17. Base de dades protegida i no exposada.
  18. Disponibilitat i recuperació
  19. Còpies de seguretat i prova real de restauració.
  20. Si es trenca o hi ha incident, volem recuperar el servei.
  21. Pla de resposta a bretxa
  22. Un procediment clar: què fem si ens roben credencials o hi ha fuga.

PROJ_ASIX_18 - Clúster per hospital (continuïtat assistencial)

Sistemes Dificultat: 8.5/10

Dissenyar i validar alta disponibilitat, backups i procediments de recuperació davant fallades.

Som l´Hospital Clínic de Sabadell i actualment el nostre sistema:


Té serveis interns que no poden “caure” en horari assistencial: intranet, torns/agenda, repositori de documents, portal intern de protocols.

Ha patit talls elèctrics puntuals i falles de disc/RAID en servidors antics que impliquen caigudes i recuperacions lentes.

Volem migrar a una plataforma que permeti:

  1. manteniment sense aturar serveis (migració en calent)
  2. recuperació ràpida en cas de fallada (RTO baix)
  3. còpies de seguretat verificades (restore test)
  4. monitoratge i alertes per anticipar problemes

Encàrrec:


“Vull una plataforma d’alta disponibilitat per a màquines virtuals que aguanti falles i que tingui procediments clars: què fem si cau un node, si es corromp una VM, o si hem de fer manteniment.”


Dissenyar i implementar un clúster Proxmox amb HA:

  1. creació i gestió d’un clúster (corosync, quorum, rols)
  2. migració en calent i “manteniment controlat”
  3. estratègia de storage i de backups (incloent restauració)
  4. seguretat bàsica del pla de gestió (MGMT) i del pla de dades
  5. monitoratge (estat clúster, recursos, latències, IO)
  6. procediments (runbooks) per operació i incidències

PROJ_ASIX_6 - “Pime a prova d’atacs”: infraestructura Zero-Trust + identitat + segmentació

Seguretat Dificultat: 8/10

Dissenyar i desplegar una infraestructura completa amb control d’accés per identitat, segmentació, VPN, serveis corporatius i hardening.

Som FustaPack S.L., una pime d’uns 65 treballadors amb oficina, magatzem i un petit equip informàtic (1–2 persones).


En els últims mesos hem tingut:

  1. intents d’entrada per força bruta a serveis,
  2. correus de phishing,
  3. equips amb comportaments sospitosos,
  4. i sobretot por de ransomware (xifrat de fitxers i aturada del negoci).

Ara mateix la nostra infraestructura és “barrejada” i poc controlada: serveis en un sol servidor, poca segmentació, contrasenyes irregulars i accés remot que no ens acaba de donar confiança.

Volem que ens dissenyeu i munteu una infraestructura segura i ordenada, que es pugui administrar bé, i que ens permeti treballar (també en remot) amb menys risc.


Necessitem una solució que ens doni:

  1. Control d’accés centralitzat
  2. Que els usuaris no vagin amb “comptes locals per tot arreu”.
  3. Poder donar o treure permisos ràpidament (alta/baixa).
  4. Saber qui és qui i quin nivell d’accés té.
  5. Accés remot segur (teletreball i proveïdors)
  6. Que els treballadors puguin entrar des de fora amb seguretat.
  7. Que els proveïdors (ERP, manteniment, etc.) tinguin un accés limitat i temporal.
  8. Segmentació de la xarxa
  9. Separar “usuaris”, “servidors”, “administració”, “convidats” i “serveis públics”.
  10. Si hi ha un problema en un PC d’usuari, que no es pugui moure fàcilment a tota l’empresa.
  11. Traçabilitat i detecció
  12. Volem tenir logs i alertes: si algú fa bruteforce, si un servidor canvia coses crítiques, etc.
  13. No cal un SOC perfecte, però sí un mínim “professional” que ens avisi.
  14. Continuïtat mínima
  15. Còpies de seguretat i la capacitat de recuperar serveis bàsics (identitat, configuracions, fitxers).
  16. Almenys demostrar que es pot restaurar alguna cosa crítica.
  17. Documentació clara
  18. Que si marxa la persona que ho ha muntat, un altre ho pugui entendre.
  19. Diagrames, manual d’operació i procediments.


PROJ_ASIX_10 - “Xarxa industrial/IoT segura”: segmentació OT/IT, accés remot i detecció

Seguretat Dificultat: 8/10

Crear un laboratori OT/IoT amb arquitectura IT/OT segregada, controls d’accés i detecció específica.

Som AiguaControl S.A., una empresa que gestiona una planta de tractament d’aigua. Tenim dues realitats:

  1. IT (oficina): PCs, correu, intranet, impressió, etc.
  2. OT (planta): sensors, equips de control (PLC/SCADA), i sistemes que controlen processos físics.

El nostre gran problema és que:

  1. si algú entra per la part IT (un PC infectat, phishing…), no volem que arribi a OT.
  2. a OT hi ha equips que sovint són antics, no es poden actualitzar fàcilment i alguns tenen credencials febles.
  3. necessitem accés remot perquè tècnics i proveïdors fan manteniment, però això és un risc si es fa “obrint ports”.

Volem una solució que separi IT i OT, que controli els fluxos, que permeti accés remot segur i que tingui un mínim de detecció.


Necessitem que la vostra proposta ens aporti:

  1. Separació clara IT / OT
  2. IT i OT han d’estar en xarxes diferents.
  3. No s’ha de poder passar d’una a l’altra “perquè sí”.
  4. Accés remot segur i auditable
  5. Tècnics interns: accés remot controlat.
  6. Proveïdors: accés limitat, només al que necessiten i quan ho necessiten.
  7. Volem poder tallar l’accés ràpidament si hi ha un incident.
  8. Comunicacions IoT/OT segures
  9. Els “dispositius” (sensors/actuadors simulats) han de comunicar-se de forma segura:
  10. xifrat (TLS),
  11. autenticació,
  12. i permisos mínims (ACL).
  13. Detecció mínima
  14. Si algú escaneja la xarxa OT o intenta entrar al broker IoT, volem alerta.
  15. Si un dispositiu fa coses estranyes, volem indicis.
  16. Documentació i procediments
  17. Inventari d’actius i fluxos (qui parla amb qui).
  18. Procediment per donar d’alta un dispositiu nou.
  19. Procediment per reaccionar davant un incident.


PROJ_ASIX_8 - “E-commerce segur”: web + BD + DevSecOps + WAF + escaneig continu

Seguretat Dificultat: 7.5/10

Desplegar una aplicació web segura per disseny, amb pipeline de seguretat i protecció per capes.

Som EcoMarket.cat, una botiga online petita (20 treballadors) que ven productes ecològics. La web és el nostre negoci: si cau o ens la rebenten, perdem diners i reputació.

Hem tingut problemes reals o molt plausibles:

  1. intents de força bruta al panell d’administració,
  2. intents d’SQL Injection i XSS,
  3. una vegada es va exposar un fitxer de backup per mala configuració,
  4. i no tenim un procés clar per detectar codi insegur abans de publicar.

Volem que ens munteu una plataforma que sigui:

  1. segura davant atacs web típics,
  2. repetible (si ho hem de tornar a muntar o migrar, que sigui fàcil),
  3. i amb proves de seguretat automàtiques (DevSecOps).

Necessitem que la vostra solució ens permeti:

  1. Publicar una web de forma segura
  2. TLS obligatori (https).
  3. Configuració correcte del servidor web (cap “fuites tipes”).
  4. Logs i traçabilitat.
  5. Protegir-nos dels atacs típics (OWASP Top 10)
  6. Com a mínim: bruteforce, SQLi, XSS, intents d’escaneig i explotació.
  7. Bloqueig o mitigació, no només “ho detectem”.
  8. Separar bé els components
  9. Web/reverse proxy a DMZ.
  10. Aplicació en una xarxa interna.
  11. Base de dades tancada i només accessible des de l’app.
  12. Tenir un procés de publicació amb seguretat (DevSecOps)
  13. Si algú puja codi insegur o secrets (passwords, tokens), el pipeline ha de fallar.
  14. Volem informes de seguretat i evidències abans de passar a “producció”.
  15. Backups i recuperació
  16. Backup de la BD i de configuracions.
  17. Prova real de restauració (no només “hem configurat backups”).
  18. Documentació clara i operativa
  19. Perquè després ho pugui mantenir algú altre.
  20. Runbooks (com desplegar, com recuperar, com revisar logs).


PROJ_ASIX_15 - Hardening d’SO multi-client

Sistemes Dificultat: 7.5/10

Crear una “plantilla d’SO segur” + un sistema de gestió d’identitats i auditoria per desplegar servidors de clients amb el mateix baseline.

TechServeis BCN S.L. (MSP de Girona) amb 12 tècnics i uns 50 clients PIME (gestories, tallers, escoles privades i petites consultores).

Problema actual:

  1. Els clients tenen servidors Linux “fets a mida” per cada tècnic → configuracions diferents, poca traçabilitat i errors repetits.
  2. Han patit diversos intents de força bruta a SSH i un incident de ransomware en un client Windows que va intentar propagar-se per SMB.
  3. Necessiten un “paquet estàndard” per desplegar servidors Linux de forma ràpida però segura, amb:
  4. Identitat central (alta/baixa d’usuaris i permisos)
  5. Registre d’activitat i auditoria (qui fa què)
  6. Hardening consistent
  7. Backups i restauracions provades
  8. Automatització per no dependre de “fer-ho a mà”

Encàrrec del client:

“Vull que qualsevol tècnic del meu equip pugui desplegar un servidor per un client en menys d’1 hora, amb el mateix nivell de seguretat i amb evidències. I que si hi ha un incident, pugui saber què ha passat i recuperar el servei.”


Construir una plataforma de “baseline segur” per desplegar servidors Linux de clients:


  1. Proxmox com a base de virtualització del MSP (lab)
  2. FreeIPA per identitat centralitzada (LDAP/Kerberos + polítiques)
  3. Hardening d’un servidor Debian (nftables, SSH, auditd, fail2ban, AppArmor…)
  4. Logs centralitzats i auditoria per resposta a incidents
  5. Automatització amb Ansible (desplegament repetible i controlat)
  6. Backups + prova de restauració (no només fer còpies: demostrar que funcionen)


PROJ_ASIX_21 - Xarxa Segura per PIME amb seu + filial + teletreball

Xarxes Dificultat: 7.5/10

Dissenyar, implementar i validar una infraestructura de xarxa segmentada, segura i auditable per una PIME amb dues seus i teletreball, utilitzant programari lliure i fent proves amb maquinari real per demostrar l’aplicació pràctica.

Som una PIME catalana amb dues seus:

  1. Seu principal (Barcelona): oficines i sala tècnica. Aquí tenim els servidors i la major part d’usuaris.
  2. Filial/Magatzem (Sabadell): gent de logística, terminals d’inventari i impressores.

Ara mateix tenim aquests problemes:

  1. La xarxa és massa “plana”: si un PC s’infecta, pot “veure” altres equips.
  2. El Wi-Fi funciona amb una contrasenya compartida. Quan marxa algú, no podem controlar bé l’accés.
  3. Tenim teletreball i necessitem entrar als recursos interns, però volem que sigui segur.
  4. No tenim monitoratge ni logs centrals: quan cau un servei, ens n’assabentem tard.
  5. Volem una xarxa més professional, que sigui segura, ordenada i fàcil de mantenir.

Volem que ens dissenyis i implementis una xarxa amb:

  1. Segmentació (VLANs) perquè cada tipus d’usuari/dispositiu estigui separat.
  2. Firewall i polítiques perquè només es permeti el trànsit necessari (model “deny by default”).
  3. Wi-Fi corporatiu amb usuari i contrasenya personal (no una clau compartida).
  4. Connexió segura entre seus (site-to-site) i accés remot d’usuaris (VPN) amb seguretat extra (MFA si es pot).
  5. Serveis bàsics (DNS, DHCP, etc.) funcionant i documentats.
  6. Monitoratge i logs per detectar problemes i incidents.
  7. Tot això que es pugui fer amb programari lliure i que sigui reproduïble en un laboratori.


PROJ_ASIX_25 - Centre de Dades Educatiu

Xarxes Dificultat: 7.5/10

Institut/centre de formació que vol un CPD petit per a serveis interns i labs. Prioritat: virtualització, xarxes virtuals, seguretat, backups i operació.

Som un institut/centre de formació que vol tenir un mini-centre de dades (CPD) per:

  1. Donar serveis interns (DNS, intranet, Git, directori d’usuaris…).
  2. Fer laboratoris d’ASIX i ciberseguretat sense dependre de “cada PC per separat”.
  3. Poder muntar i esborrar entorns de pràctiques ràpidament.
  4. Tenir-ho controlat, segmentat i segur, perquè hi haurà pràctiques que poden ser “perilloses” (escanejos, malware simulat, etc.).

Ara mateix tenim problemes:

  1. VMs disperses, configurades a mà, difícil de repetir.
  2. Backups poc fiables o directament inexistents.
  3. Si falla una màquina, ens quedem sense servei.
  4. No hi ha documentació clara ni procediments (runbooks).

Volem que ens deixis muntat un CPD educatiu que:

  1. Estigui basat en virtualització amb Proxmox.
  2. Tingui xarxes separades (management, serveis, labs, DMZ, etc.).
  3. Inclogui un catàleg de serveis útils per al centre.
  4. Tingui backups ben fets i una restauració provada.
  5. Tingui monitoratge i logs per saber què falla i quan.
  6. Estigui documentat i sigui repetible (que un altre tècnic ho pugui reconstruir).


PROJ_ASIX_9 - “Anti-ransomware i continuïtat”: còpies 3-2-1, immutabilitat i DR provat

Seguretat Dificultat: 7/10

Dissenyar i implementar una estratègia de backup + DR amb proves de restauració i criteris RPO/RTO.

Som l’Ajuntament de VallNova (90 treballadors). Treballem amb documents importants (expedients, contractes, padró, etc.) i serveis interns que, si cauen, ens bloquegen el dia a dia.

El nostre problema és que:

  1. hi ha risc real de ransomware (xifren els fitxers i demanen rescat),
  2. tenim còpies però no sabem si estan ben fetes,
  3. i sobretot mai hem provat una recuperació completa en condicions.

El que volem és un sistema de còpies i recuperació que sigui:

  1. robust,
  2. protegit (que el ransomware no el pugui xifrar també),
  3. i demostrable (amb proves reals de restauració).

Necessitem que ens munteu una solució que ens garanteixi:

  1. No perdre dades importants
  2. Si passa un incident, volem recuperar documents i dades.
  3. Acceptem perdre com a màxim unes hores (segons servei).
  4. Recuperar serveis en un temps raonable
  5. Si un servidor cau o queda xifrat, volem poder restaurar-lo.
  6. Volem saber quant trigarem realment (temps mesurat).
  7. Que les còpies siguin segures
  8. Si entren a la xarxa i xifren un PC, no volem que puguin xifrar el repositori de backups.
  9. Volem una part immutable (snapshots / protecció) i/o “offline” (simulat).
  10. Tenir un pla clar (no improvisar)
  11. Un document de política de backup.
  12. Un procediment de restauració pas a pas.
  13. I un simulacre tipus “ransomware” documentat.


PROJ_ASIX_17 - Plataforma d’orquestració

Sistemes Dificultat: 7/10

Construir una plataforma d’automatització amb Ansible (i AWX opcional) per gestionar un parc de servidors mixtos

Som una empresa de logística amb magatzems i repartiment. Tenim servidors Linux en diferents llocs (oficina i magatzems) i els fem servir per serveis interns: DNS, fitxers compartits, aplicacions de magatzem i bases de dades.


El problema és que cada servidor s’ha configurat “com s’ha pogut”: alguns són Debian, altres Ubuntu, i cada tècnic ha fet la seva. Això provoca:

  1. configuracions diferents (no hi ha estàndard)
  2. actualitzacions fetes a mà (amb risc de trencar coses)
  3. canvis sense control (ningú sap exactament què s’ha tocat)
  4. quan hem de muntar un servidor nou, tardem massa

Volem que munteu una manera professional i repetible de gestionar els servidors amb Ansible, i si es pot amb una eina tipus AWX per llançar tasques.


Necessitem:

  1. Un estàndard per a tots els sevidors
  2. Gestió centralitzada amb ansible
  3. Serveis d´infra reals desplegats amb rols
  4. Control de canvis
  5. Entorns separats: dev / stage / prod
  6. Recuperació i drift (quan algú toca alguna cosa a mà)

PROJ_ASIX_24 - Smart City híbrida

Xarxes Dificultat: 7/10

Ajuntament amb serveis: sensors (qualitat aire), càmeres, Wi-Fi públic, treballadors municipals, proveïdors externs. Necessiten separar OT/IoT, assegurar l’accés remot i automatitzar canvis.

Som l´ajuntament de Torroja del Vallès. Tenim:

  1. Xarxa corporativa (oficines, administració, policia local, brigada).
  2. Wi-Fi públic a places i edificis municipals.
  3. Sensors “smart city” (qualitat de l’aire, soroll, aparcament…) i alguns sistemes com CCTV o enllumenat (encara que sigui simulat).

El problema és que ara mateix:

  1. Moltes coses estan barrejades a la mateixa xarxa.
  2. Els sensors IoT no estan prou controlats (si un sensor es compromet, pot afectar altres xarxes).
  3. Els proveïdors externs entren “com poden” per fer manteniment (a vegades massa permisos).
  4. Fem canvis manuals i després no sabem què s’ha tocat ni com recuperar-ho.
  5. No tenim prou monitoratge: si un sensor deixa d’enviar dades, ens n’adonem tard.

Volem que ens facis una infraestructura de xarxa tipus Smart City que sigui:

  1. Segmentada per zones (corporativa, IoT, Wi-Fi públic, CCTV, DMZ, etc.).
  2. Segura, amb control d’accés i mínim privilegi.
  3. Amb una plataforma IoT (MQTT) que funcioni i sigui controlada.
  4. Amb accés remot segur per tècnics municipals i per proveïdors (VPN + bastió).
  5. Automatitzada (amb Ansible) perquè sigui repetible i fàcil de mantenir.
  6. Amb monitoratge i alertes (Zabbix) i logs centralitzats.