uvod u mreže
TRANSCRIPT
Uvod u mreUvod u mrežžee
Hrvoje PopovskiSveučilišni računski centar (SRCE)
SadrSadržžajaj
v Uvodv Lokalne mreže – najbolja praksav Tehnologije akademske mrežev Nadzor akademske mreže - Netflowv Dodatak
w OSI model
UvodUvod
MMrerežže su?e su?
v Što su mreže?
w Računalne mreže su bilo kakav skup računala ili ureñaja meñusobno povezanih s mogućnošću razmjene podataka
Povijest mrePovijest mrežžaa
v Povijest mrežžžža
w 1940 - George Stibitz koristi telepisač za slanje seta instrukcija iz New Hampshire-a u New York
w 1962 - ARPA zapošljava J.C.R Licklider-a za daljnji razvoj, a projekt se zove „Intergalactic Network“
w 1969 - UCLA – UCSB – UU povezuju se 50 kbit/s brzinama, i to je početak ARPANet-a
w 1972 – prvi komercijalni mrežni servis, za prijenos podataka koristi se X.25 tehnologija (preteča današnjeg IP-a)
Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa
v LAN – Local area network
v WAN – Wide area network
v PAN – Personal area network
v CAN – Campus area network
v MAN – Metropolitan area network
v SAN – Storage area network
v WLAN – Wireless Local area network
v WWAN - Wireless Wide area network
Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa
v LAN – Local area network
w Pokriva relativno malo geografsko područje kao što je kuća, ured ili zgrada (cca 1m – 1000m)
w Temelji se na ethernet tehnologijiw Računala mogu biti povezana žičano ili bežičnow Karakterizira ih velika brzina prijenosa podataka (10 Gbit/s).
Trenutno se razvija brzina od 100 Gbit/sw Sa stanovišta sigurnosti mreža zaštita LAN-a je prioritet
Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa
v WAN – Wide area network
w Pokriva veliko geografsko područje kao što je država, kontinent, satelitska komunikacija (cca 100 km – 100,000 km)
w Najpoznatiji primjer WAN-a je Internetw Za prijenos podataka koriste se razne tehnologije (Ethernet,
Frame Relay, ATM, SONET/SDH…)w Zbog zaštite rada mreže pristup WAN ureñajima mora biti
kontroliran od strane NOC-a
Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa
v PAN – Personal area network
w Pokriva male udaljenosti do 10 mw Infrared, bluetooth
v MAN/CAN – Metropolitan/Campus area network
w Gradska mreža i kampus mrežaw Optički vodovi, bežično povezivanje
Distribucija PristupOkosnica
Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa
v Mrežžžžna hijerarhija
OSI modelOSI modelv Open Systems Interconnection Basic Reference Model
Apstraktni opis dizajna protokola komunikacijskih i računalnih mreža, predstavljen u obliku sedam slojeva
OSIOSI
v Osmislili su ga ISO i ITU-T zbog standardizacije u mrežnoj komunikaciji
v Koristi se jer:w Dijeli mrežne operacije u manje kompleksne cjelinew Omogućuje stručniji razvoj i dizajn odreñenog OSI slojaw Sprječava utjecanje promjena u jednom sloju na druge slojevew Omogućuje mrežnim dizajnerima odabir ispravnih mrežnih ureñaja
specijaliziranih za odreñeni slojw Pomaže u testiranju i otkrivanju grešaka u mreži
Lokalne mreLokalne mrežžee
Lokalne mreLokalne mrežžee
v Zapamtite dvije stvari
w Simplicity Principle• http://tools.ietf.org/html/draft-ymbk-arch-guidelines-05
w Ross Callon in RFC 1925:• “Some things in networking can never be fully understood by
someone who neither builds commercial networking equipment norruns an operational network.“
Lokalne mreLokalne mrežžee
v The Fundamental Truths – RFC 1925w (1) It Has To Work. w (2) No matter how hard you push and no matter what the priority,
you can't increase the speed of light. • (2a) (corollary). No matter how hard you try, you can't make a
baby in much less than 9 months. Trying to speed this up *might* make it slower, but it won't make it happen any quicker.
w (3) With sufficient thrust, pigs fly just fine. However, this is not necessarilya good idea. It is hard to be sure where they are going to land, and itcould be dangerous sitting under them as they fly overhead.
w (4) Some things in life can never be fully appreciated nor understoodunless experienced firsthand. Some things in networking can never befully understood by someone who neither builds commercial networkingequipment nor runs an operational network.
w (5) It is always possible to aglutenate multiple separate problemsinto a single complex interdependent solution. In most cases this is a badidea.
Lokalne mreLokalne mrežžeew (6) It is easier to move a problem around (for example, by moving the problem to a
different part of the overall network architecture) than it is to solve it. • (6a) (corollary). It is always possible to add another level of indirection.
w (7) It is always something• (7a) (corollary). Good, Fast, Cheap: Pick any two (you can't have all three).
w (8) It is more complicated than you think. w (9) For all resources, whatever it is, you need more.
• (9a) (corollary) Every networking problem always takes longer to solve than itseems like it should.
w (10) One size never fits all. w (11) Every old idea will be proposed again with a different name and a different
presentation, regardless of whether it works. • (11a) (corollary). See rule 6a.
w (12) In protocol design, perfection has been reached not when there is nothing leftto add, but when there is nothing left to take away.
Lokalne mreLokalne mrežžee
v Sigurnost fizičkog sloja
w Svjesnost zaposlenika o važnosti sigurnostiw Identifikacijska karticaw Praćenje ulaska, izlaska i akcija zaposlenikaw Informiranje o posjetiteljima i svrsi njihovog posjetaw Pametne kartice, biometričke tehnologije (glas, otisak prstiju,
šarenica oka)w Znati kome se obratiti u slučaju problema
Lokalne mreLokalne mrežžee
v Pojmoviw VLAN – Virtual Local Area Networkw MAC adresa – Media Access Control adresaw STP – Spanning tree Protocol
• Podvrste – RSTP (rapid), PVSTP (per vlan), MSTP (multiple)w BPDU - Bridge Protocol Data Unitsw CDP – Cisco Discovery Protocolw LLDP – Link Layer Discovery Protocolw VTP – Virtual Trunking Protocolw DTP – Dynamic Trunking Protocolw ACL – Access-Listw Trunk/Access portw HSRP – Hot Standby Routing Protocol
Lokalne mreLokalne mrežžee
v VLAN – Virtual Local Area Networkw grupiranje hostova na sloju 2 (dijeljenje broadcats domene)w VLAN ima iste karakteristike kao LANw poboljšana sigurnost, skalabilnost, managementw switchevi ne prenose IP promet, to rade routeriw nakon kreiranja VLAN-a on se pridodjeljuje portuw 4096 VLANova
v Trunk port (tagged port)w port kroz koji prolazi više vlanova
v Access portw port prema korisnicima
Lokalne mreLokalne mrežžee
v VLANw 802.1q – VLAN tagging
• da bi se moglo propustiti više vlanova kroz port potrebno je posebno označiti takav okvir (frame), to se zove 802.1q tag
• port kroz koji prolazi više vlanova zove se trunk ili tagged port
Lokalne mreLokalne mrežžee
v Access port – korisnički portoviw fizički portovi prema korisnicimaw isključiti sve protokole koji se mogu – CDP, DTP ..etc
Lokalne mreLokalne mrežžee
v MAC adrese – Media Access Controlw fizička adresa – physical addressw 48 bitovaw npr. 00-11-0A-81-01-21w 00-11-0A (hex) HP
Lokalne mreLokalne mrežžee
v MAC flooding – overfloww svaki switch ima limitiranu
MAC tablicu
w napad će prepuniti MACtablice svih switcheva u sloj 2 domeni
w macof – može generirati 155,000 MAC zapisa
• switch se može ubiti za cca 70 sekundi
Lokalne mreLokalne mrežžee
v Jednostavan LANw nema STP-a, nema loopova
w nema redudancijew jedna broadcast domenaw portovi prema hostovima – CDP, STP, DTP, Vlan 1
Lokalne mreLokalne mrežžee
v Redudancijaw Spanning tree (STP), mogući loopovi
w BPDU porukew STP stanja portova:
• Blocking• Listening• Learning• Forwarding• Disabled
w Odabir root bridge-a
Lokalne mreLokalne mrežžee
v Spanning-tree attackw F – forwardw B - blocked
Lokalne mreLokalne mrežžee
v Yersinia
Lokalne mreLokalne mrežžee
v Yersinia i STP
Lokalne mreLokalne mrežžee
v Idemo kompliciratiw Za ovakvim spajanjem nema potrebe
Lokalne mreLokalne mrežžee
v Core, distribucija, accessw redudancijaw switchevi nisu ovisni jedan o drugom
Lokalne mreLokalne mrežžee
v Sada je sve spojeno, redudantno i sve radi !
v Portovi prema hostovima – jošuvijek CDP, DTP
v Kako je jošmože napasti switcheve ? ☺
Lokalne mreLokalne mrežžee
v CDP – Cisco Discovery Protocolw protokol je u vlasništvu Ciscaw služi za dijeljenje informacija izmeñu direktno povezenih switcheva
kao što su: • verzija operativnog sustava• ip adresa• VTP domena• Native Vlan
w Hello - multicast adresa 01-00-0c-cc-cc-cc
Lokalne mreLokalne mrežžee
v CDP – Cisco Discovery Protocol
Lokalne mreLokalne mrežžee
v VTP – VLAN trunking protocolw protokol je u vlasništvu Ciscaw olakšava administraciju switcheva tako što distribuira vlanove po
switchevinaw 4 moda rada – VTP server, client, transparent (off)w verzije 1,2 (plain text) i 3 (MD5 autetikacija)
v Može li se napasti VTP? Yersinia! ☺
Lokalne mreLokalne mrežžee
v VTP – VLAN trunking protocol
Lokalne mreLokalne mrežžee
v HSRP – Hot Standby Routing Protocolw protokol je u vlasništvu Ciscaw Cisco verzija VRRP-a (Virtual Router Redundancy Protocol) (RFC
3768)w služi za uspostavu redundantnog gatewaya izmeñu više routeraw Hello paketi se šalju na multicast adresu 224.0.0.2 koristeći
UDP/1985
Lokalne mreLokalne mrežžee
v LAN - najbolje praksa
w Administrirati switcheve što je sigurnije moguće (ssh, acl, etc)w Koristiti odreñene vlanove kroz trunkovew Ne koristiti vlan 1w Portove prema korisnicima staviti u access mode
w Postaviti port-security gdje je to mogućew SNMP-om nadzirati ureñajew Omogućiti STP security feature (BPDU guard, Root guard, Loop
guard)w Omogućiti CDP samo gdje je potrebnow Isključiti sve portove koji se ne koriste
Lokalne mreLokalne mrežžee
v Management switcheva
w Bilo koji security feature ništa ne vrijedi ako napadač može telnetom/ssh pristupiti na ureñaj
w Koristiti sigurnije inačice dobro znanih mgmt protokola (syslog, snmp, tftp, telnet, etc) kao npr. (ssh, scp, snmpv3)
w Dodijeliti mgmt vlanu nestandardni Vlan ID, npr. 456w U mgmt vlanu ne dopustiti nikakav drugi promet osim mgmt
prometa
Lokalne mreLokalne mrežžee
MreMrežžne tehnologijene tehnologije
MreMrežžne tehnologijene tehnologije
v Multi Protocol Label Switching (MPLS) w Funkcionira na sloju 2 i 3 – “Sloj 2.5”w Osim IP može prenositi ATM, Ethernet i ostale okvire
v Format labelew 32 bita
• Label value – 20 bita• Exp bitovi (Qos) – 3 bita• S bit (Bottom of stack) – 1 bit• TTL (Time to live) – 8 bitova
v LDP – Label Distribution Protocolw Svrha mu je distribucija labela u MPLS mrežamaw Oslanja se na routing protokole (OSPF, ISIS)w UDP/646 za Hello paketew Uspostavljanje LDP sesije TCP/646
MreMrežžne tehnologijene tehnologije
v MPLS labela
MreMrežžne tehnologijene tehnologije
v MPLSw QoS Support
• IP je connectionless dok LDP koristi TCP za uspostavljanje LDP sesije
w Traffic Engineeringw VPN Support
• L2 VPN-ovi• L3 MPLS/BGP VPN-ovi• VPLS - Virtual private LAN service
MreMrežžne tehnologijene tehnologije
v Metro Ethernetw Metropolitan Area Network (MAN) bazirane na Ethernetuw Ethernet je jeftina tehnologijaw core, distribution, access
MreMrežžne tehnologijene tehnologije
v Metro Ethernetw Čisti Ethernetw Ethernet over MPLSw Ethernet over DWDM
v Čisti Ethernetw sloj 2 switcheviw MAC tablicew IEEE 802.1ad (Provider Bridges) – nadopuna 802.1qnqw IEEE 802.1ah (Provider Backbone Bridges) – Mac in Mac w IEEE 802.1Qay (Provider Backbone Transport).
MreMrežžne tehnologijene tehnologijev 802.1ad - VLAN unutar
VLAN-a - Q-in-Qw ograničenje VLAN-ova je 4096;
za providera to je problemw q-in-q omogućava davateljima
usluge da unutar jednog vlanakorisnik može koristiti svoje vlanove
w ostaje ograničenje po MAC-ovima
MreMrežžne tehnologijene tehnologije
v 802.1ah - Provider Backbone Bridgesw za razliku od QinQ-a koji ne razlikuje klijente od davatelja usluga,
nego samo nudi tuneliranja vlanova unutar vlanova, 802.1ah nudi odvajanje klijenata od davatelja usluga
w time se rješava problem MAC tablica, odvajaju se STP instance davatelja usluga i korisnika
MreMrežžne tehnologijene tehnologije
v Ethernet over MPLS (over Ethernet)w koristi se MPLS u mreži davatelja uslugaw LDP za signalizaciju – potreban routing protokolw skalabilnost – više od 4096 Vlanova
• vlanovi postaju lokalni isto kao i MAC adresew elastičnost – oslanjanje na MPLS mehanizme što se tiče
konvergencije, a ne na STP
v Point-to-point servis w L2 tuneli (xconnect, l2tpv3)
v Multipoint-to-multipoint servis w VPLS - Virtual private LAN service w TLS - Transparent LAN Service
MreMrežžne tehnologijene tehnologije
v u-PE – user-facing providers edgev n-PE – network-facing providers edgev CE – customer edge
NetflowNetflow
NetflowNetflow
v Netfloww Netflow tehnologijom prati se profil mrežnog prometa zasnovanog
na flow-ovima. w Razvijen 1996 u «Cisco Systems» (Darren Kerr i Barry Bruins)
NetFlow je danas vodeća tehnologija za praćenje, eksport te za izradu statistike usmjerenih socket parova.
w Omogućen je skoro na svim Cisco, Juniper, Extreme i drugim routerima i sloj 3 switchevima.
w Kada mrežni administrator omogući NetFlow eksport na routerima,statistika paketa na sučelju mjeri se u «flow» i sprema se u dinamički «flow cache».
w Flow je definiran kao jednosmjerna sekvenca paketa (znači da postoje dva flow-a za svaku konekciju; jedna sa servera prema klijentu i jedna s klijenta prema serveru) izmeñu dvije krajnje točke.
NetflowNetflow
v Flow definiraju sedam jedinstvenih stavki:w Source IP addressw Destionation IP addressw Source portw Destination portw Layer 3 protocol typew TOS byte (DSCP)w Input logical interface (ifIndex)
v Svaki put nakon primljenog paketa router pogleda tih sedam stavki i odlučuje :w ako paket pripada već postojećem flow-u, statistika prometa
postojećeg flow-a bit će uvećanaw ako paket ne pripada niti jednom postojećem flow-u usmjerivač
stvara novi flow
NetflowNetflow
v Prema Ciscu novi flowovi se konstantno stvaraju, a istekli flow zapisi bit će eksportirani UDP-om na definirani kolektor ako postoji jedan od uvjeta :w transportni protokol (TCP) označava da je konekcija završena
(TCP FIN) i postoji malo kašnjenje koje dopušta potpuni završetak «FIN acknowledgment handshaking»
w neaktivni flow istječe za 15 sekundiw za flow-ove koji su konstantno aktivni, flow cache zapisi istječu
svakih 30 minuta da se periodički eksportira statistika aktivnih flow-ova
NetflowNetflow
v Verzije Netflow-aw verzija 5
• najviše upotrebljavana - uobičajena
NetflowNetflow
v Verzije Netflow-aw verzija 7
• specifična za Cisco Catalyst serije 6500 i 7600 (NetFlow cachejednak je MLS cache)
w verzija 8• podržava agregaciju i sumariziranje Netflow podataka• smanjuje NetFlow eksport zahtjeve za propusnost
NetflowNetflow
v Verzije Netflow-aw verzija 9
• najnovija verzija NetFlow-a (Multicast NetFlow v9, MPLS awareNetFlow v9, BGP next-hop v9, NetFlow for Ipv6)
NetflowNetflow
v Prijenosni protokol w Eksport NetFlow podataka (paketa) prema kolektoru :
• potrebno je definirati source interface, destination ip address i port• podaci se prenose UDP-om po denifiranom portu
NetflowNetflowv Netflow kolektori - software
w flow-tools• flow-capture
– Skladišti flow arhive i briše stare flow-ove.• flow-cat
– Niže flow arhive. Obično flow arhive sadrže 5 do 15 minuta eksporta. Flow-cat se može koristiti za nadodavanje arhiva kod generiranja statistika većih vremenskihperioda.
• flow-filter – Filtrira flow-ove po bilo kojem od eksportiranih polja. Flow-filter se koristi u
neposrednoj vezi s programima za generiranje izvještaja na osnovi prilagoñenihfilterskih izraza
• flow-split – Dijeli flow arhive u manje arhive na osnovi veličine, vremena ili oznake
• flow-dscan– Jednostavan alat za detektiranje raznih anomalija u mreži i Denial of Service
napada• flow-expire
– Poseban program koji briše stare flow-ove. Flow-capture ima opciju koja radiidentičnu zadaću.
• flow-stat – Generira reporte od flow podataka
NetflowNetflow
v Netflow kolektori – software
w nfdump – podržava verziju 9, kompatibilan s flow-toolsimaw Scrutinizer NetFloww Paessler Netfloww ntop ...
NetflowNetflow u CARNet mreu CARNet mrežžii
CARNetCARNet mremrežžaa
ZG KockaZG Kocka