Bezpieczeństwo usług a zasoby sprzętowe platformy dostępowej. Ryszard Czernecki Kraków, 23 października 2012

Transkrypt

1 Bezpieczeństwo usług a zasoby sprzętowe platformy dostępowej Ryszard Czernecki Kraków, 23 października 2012

2 Agenda Informacja o firmie Akademii PON i jej partnerach Bezpieczeństwo usług Zasoby procesora Przykłady Podsumowanie

3 Akademia PON Spotkania prowadzone przez specjalistów, w trakcie których uczestnicy poznają zagadnienia związane z projektowaniem, budową, i utrzymaniem szerokopasmowych sieci optycznych Promocja usług możliwych do świadczenia w sieciach szerokopasmowych, pozwalających przedsiębiorcom na bardziej efektywne wykorzystanie ich potencjału i maksymalizację przychodów Podstawowym celem Akademii jest popularyzacja rozwiązań FTTH oraz PON w Polsce oraz wsparcie przedsiębiorców i samorządowców w realizacji projektów budowy i utrzymania sieci szerokopasmowych.

4 Akademia PON Akademia PON powstała w ramach współpracy Fundacji Wspierania Edukacji Informatycznej PROIDEA i firmy Solutions for Technology. Fundacja Wspierania Edukacji Informatycznej "PROIDEA" jest niezależną, samofinansującą się organizacją typu non-profit. Zespół profesjonalistów oraz osób czynnych zawodowo z różnych dziedzin informatyki i telekomunikacji, którzy tworzą Fundację umożliwia zdobywanie wiedzy i umiejętności praktycznych poprzez: ogólnopolskie konferencje (np. PLNOG), szkolenia i warsztaty oraz obozy informatyczne. S4Tech jest działającym od 10 lat na polskim rynku telekomunikacyjnym dostawcą oraz integratorem systemów telekomunikacyjnych, który zapewnia swoim klientom pełny zakres usług i rozwiązań, od planowania i projektowania sieci poprzez dostawę, instalację i konfigurację systemów aż do utrzymania i serwisu gwarancyjnego oraz pogwarancyjnego. Oferuje przygotowane pod względem technicznym i funkcjonalnym dodatkowe usługi zarządzane z zakresu HAN/OAN oraz IP CCTV. S4Tech jest liderem w zakresie rozwiązań PON na rynku polskim.

5 Bezpieczeństwo usług Telecom Internet TV Im bardziej zaawansowane usługi, tym większe wymagania. Convergent Bearing FTTH FTTN/C + MSAN + DSLAM FTTB/F + LAN + xdsl + EoC Communication Security + LAN + POTS + RF + USB + WiFi Entertainment Intelligent Home FTTO + SBU support ISDN/DDN/E1 Mobile Backhaul WLAN Base station access

6 Bezpieczeństwo usług Platforma dostępowa PON

7 Bezpieczeństwo usług W jaki sposób można zdefiniować zagadnienie zapewnienia bezpieczeństwa usług? Zapewnienie bezpieczeństwa usług to zapewnienie prawidłowej i niezakłóconej realizacji usług, nie tylko z punktu widzenia parametrów SLA dla ruchu usługowego (jak przepustowość, opóźnienie), ale również z punktu widzenia ruchu kontrolnego.

8 Bezpieczeństwo usług Przykład realizacji usług TPS

9 Bezpieczeństwo usług Przykłady typowego ruchu kontrolnego w dostępowej sieci usługowej: ARP DHCP IGMP PPPoE ruch konieczny aby umożliwić komunikację IP w domenie rozgłoszeniowej, dynamiczne przydzielanie adresów IP, ruch kontrolny grup multicastowych, konieczny dla komunikacji ppp, inne jak STP, agregujące, routingu itd.

10 Bezpieczeństwo usług Dlaczego prawidłowe przesyłanie ruchu kontrolnego jest takie ważne? Gdy ruch kontrolny nie odbywa się prawidłowo, realizacja usług jest zaburzona. ARP DHCP PPPoE IGMP itd. VoIP, bootowanie STB, VoD itp., Internet VoIP, bootowanie STB, VoD itp., Internet Internet IPTV

11 Bezpieczeństwo usług Co może negatywnie wpłynąć na obsługę ruchu kontrolnego? Brak dostępnych zasobów procesora. Ruch kontrolny obsługiwany przez CPU nie odbywa się prawidłowo. Usługi nie działają prawidłowo.

12 Zasoby procesora Czy można wyczerpać zasoby procesora? TAK* *W szczegółach, zależy od tego jak przygotowana jest platforma i jej oprogramowanie.

13 Zasoby procesora W jaki sposób można wyczerpać zasoby procesora? Atak na procesor - destabilizacja pojedynczego mechanizmu i negatywny wpływ na jedną lub więcej usług, - destabilizacja wszystkich mechanizmów opartych o CPU, a co za tym idzie wszystkich usług, poprzez wyczerpanie zasobów procesora. Zjawiska w sieci, które mogą wyczerpać zasoby procesora, a które można wyeliminować przez poprawę konfiguracji urządzeń w sieci.

14 Zasoby procesora Jak zwykle procesor obsługuje ruch kontrolny? Ruch kierowany do CPU jest przez port wewnętrzny, na którym obsługiwanych jest kilka kolejek z priorytetem (np. 4 lub 8). Priorytetyzacja ruchu z użyciem kolejek jednak często nie wystarczy, ponieważ port fizyczny ma zwykle większą przepustowość w przeliczeniu na pps niż procesor jest ich w stanie obsłużyć. Wykorzystanie zasobów procesora przez dany mechanizm, zależy od liczby i złożoności zadań realizowanych przez dany mechanizm (czasu procesowania), jak również od wielkości i liczby pakietów kontrolnych (wykorzystania rozmiaru kolejki/bufora).

15 Queue Scheduler Zasoby procesora INGRESS IGMP snoop and IGMP packet? ARP snoop and ARP packet? DHCP snoop and DHCP packet? BPDU packet? Classifier IGMP packets rate-limit to 2000pps IIGMP ARP BOOTP B U F O R BPDU q7 q6 q5 q4 q3 Marker Policer Buffer Manager WRED Permit Deny Rate-limit q2 q1 STP ARP SNOOP DHCP SNOOP IGMP SNOOP q0 Queue Scheduler q7 q6 q5 q4 CPU q3 q2 EGRESS q1 q0

16 Zasoby procesora Jak zapobiec wyczerpaniu zasobów procesora przez pojedynczy proces? Skierować ruch do wybranej kolejki i zlimitować ją. Jeśli to możliwe zlimitować ruch w innym punkcie sieci. Poprawić konfigurację urządzeń sieciowych. To pozwoli na prawidłową obsługę pakietów kontrolnych, obsługiwanych przez inne procesy.

17 Przykład w oparciu o ARP Ataki Podstawowy atak to "ARP spoofing" lub "ARP poisoning" - fałszowanie wpisów w tablicy arp, ogólnie mówiąc nie jest atakiem na procesor platformy dostępowej. Jednak może być: Broadcast (unicast) arp może wyczerpać zasoby procesora jeśli w vlanie usługowym skonfigurowano interfejs IP, lub dla lepszej kontroli pakietów arp użyto mechanizmu opartego o CPU, jak arp snooping..

18 Przykład w oparciu o ARP Zabezpieczenia przed atakami ARP: Blokada komunikacji w warstwie 2 między użytkownikami (izolacja portów, izolacja userów na porcie PON) atak MITM Limitacja adresów MAC na porcie ONT atak ARP flooding Broadcast-strom-control na OLT i ONT atak DoS na procesor Dynamic ARP Inspection (DAI) lub ARP snooping (oparte o CPU na OLT). Mechanizm MAC flooding jeśli liczba pakietów IP i/lub arp na sekundę z danego adresu MAC przekroczy zdefiniowany próg, ruch od tego adresu MAC jest blokowany na zdefiniowany okres..

19 Przykład w oparciu o ARP Zadania ARP SNOOPING mogą być rozmaite: utrzymanie dynamicznej tablicy wpisów ARP filtracja pakietów ARP w wyniku inspekcji źródłowego adresu MAC w nagłówku Ethernet i ARP (aby uniknąć pakietów zmodyfikowanych w celu ataku) filtracja pakietów ARP w oparciu o tablicę np. DHCP snoop aby umożliwić wymianę ARP jedynie hostom, które poprawnie otrzymały adres IP z serwera DHCP redukcja liczby rozsyłanych pakietów ARP - może odpowiadać na zapytania ARP jeśli posiada już odpowiedni wpis w tablicy - wysyłać pakiety jedynie na port docelowy zgodnie z informacją zawartą w tablicy - zmieniać pakiet broadcastowy na unicastowy - i inne np. filtrowanie zapytań o adresy zarezerwowane: multicast, broadcast, itp.

20 Przykład w oparciu o IGMP Ataki Fałszywy router multicastowy, aby zakłócić ruch kontrolny może być swojego rodzaju atakiem na CPU, gdy rozsyła stale MQ lub GQ. Atak IGMP flooding w celu zapełnienia tablicy grup multicastowych lub przeciążenia procesora (DoS).

21 Przykład w oparciu o IGMP Zabezpieczenia przed atakami: limitacja liczby grup multicastowych per abonent ONT, limitacja MAC adresów na port ONT, limitacja pakietów IGMP/sek. ONT, filtracja niepożądanych pakietów IGMP na portach abonenckich, konfiguracja igmp snoop w trybie proxy + fast leave + explicit host tracking.

22 Podsumowanie Jak się zabezpieczyć przed wyczerpaniem zasobów CPU? - limitacja kolejek do CPU, - limitacja ruchu kontrolnego generowanego przez abonenta: - na urządzeniu abonenckim, - na urządzeniu sieciowym przed OLT, - filtracja niepożądanego ruchu, - wykorzystywanie szczegółowych parametrów mechanizmów bezpieczeństwa.

23 Dziękuję za uwagę