Bezpieczeństwo usług a zasoby sprzętowe platformy dostępowej. Ryszard Czernecki Kraków, 23 października 2012

Podobne dokumenty
Sieci komputerowe - administracja

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Zakup przełączników sieci telekomunikacyjnej z montażem 4 szt.

GS HP. 24-portowy zarządzalny przełącznik. Opis produktu. Charakterystyka produktu

ZiMSK NAT, PAT, ACL 1

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Systemy GEPON oraz EoC. Jerzy Szczęsny

PARAMETRY TECHNICZNE PRZEDMIOTU ZAMÓWIENIA

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

ZiMSK. VLAN, trunk, intervlan-routing 1

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Protokół ARP Datagram IP

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Protokoły sieciowe - TCP/IP

802.11g: do 54Mbps (dynamic) b: do 11Mbps (dynamic)

481,00 PLN brutto 391,06 PLN netto

Adresy w sieciach komputerowych

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Porty przełącznika: 8 lub więcej portów typu 10/100/1000Base-T 2 lub więcej porty SFP Gigabit Ethernet (obsługujące również moduły SFP Fast Ethernet)

Załącznik nr 1b do SIWZ Opis przedmiotu zamówienia dla części II

Spis treúci. Księgarnia PWN: Wayne Lewis - Akademia sieci Cisco. CCNA Exploration. Semestr 3

Mosty przełączniki. zasady pracy pętle mostowe STP. Domeny kolizyjne, a rozgłoszeniowe

Budowa sieci dostępowych TriplePlay z wykorzystaniem rozwiązań DCN oraz Raisecom

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Kompleksowe rozwiązania TriplePlay od Salumanus

pasja-informatyki.pl

Gdzie ComNet świadczy usługi.

1. Przełącznik do węzła głównego, 48-portowy, gigabitowy 2 szt.

OPIS PRZEDMIOTU ZAMÓWIENIA

SIECI KOMPUTEROWE Adresowanie IP

Warstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa

OPIS PRZEDMIOTU ZAMÓWIENIA ZADANIE NR 3 DOSTAWA PRZEŁĄCZNIKÓW SIECIOWYCH

MODEL WARSTWOWY PROTOKOŁY TCP/IP

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

router wielu sieci pakietów

OUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /

FORMULARZ OFEROWANYCH PARAMETRÓW TECHNICZNYCH Część 2 dostawa przełączników sieciowych (stawka Vat 0%)

I. Rozbudowa istniejącej infrastruktury Zamawiającego o przełączniki sieciowe spełniające poniższe minimalne wymagania - szt. 5

Switch zarządzalny TP-LINK TL-SG3210 8xGE 2xSFP RACK

WNRT-300G Przenośny bezprzewodowy router n z obsługą 3G

OPIS PRZEDMIOTU ZAMÓWIENIA

VPLS - Virtual Private LAN Service

TEST GPON/1GE. Spis treści:

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

WNRT-320GS Przenośny bezprzewodowy router n z obsługą 3G HSUPA

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Transmisje grupowe dla IPv4, protokół IGMP, protokoły routowania dla transmisji grupowych IPv4.

Metody zabezpieczania transmisji w sieci Ethernet

Ćwiczenie 7 Sieć bezprzewodowa z wykorzystaniem rutera.

Systemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A

Urządzenia sieciowe. Część 1: Repeater, Hub, Switch. mgr inż. Krzysztof Szałajko

Rok akademicki: 2012/2013 Kod: ITE s Punkty ECTS: 4. Poziom studiów: Studia I stopnia Forma i tryb studiów: -

Szczegółowy opis przedmiotu zamówienia

Routing i protokoły routingu

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

ZAPYTANIE OFERTOWE / PRZETARG NR 014/198/2012. Urządzenia aktywne do pasywnej sieci optycznej (FTTH PON)

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

CENNIK USŁUG TELEKOMUNIKACYJNYCH

GEPON Światłowód do domu

Usługi szerokopasmowego dostępu do Internetu

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

ER5120 router xdsl 1WAN 1DMZ 3WAN/LAN

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Wprowadzenie do projektowania sieci LAN

ADSL CPE seria 66x. szerokopasmowego

OPIS PRZEDMIOTU ZAMÓWIENIA

INFORMACJA. Ja (My), niŝej podpisany (ni)... działając w imieniu i na rzecz :... (pełna nazwa wykonawcy)... (adres siedziby wykonawcy)

Firewall bez adresu IP

Standardy w obszarze Internetu Przyszłości. Mariusz Żal

SZCZEGÓŁOWE OKREŚLENIE Przełączniki sieciowe

Zapory sieciowe i techniki filtrowania danych

Zadania do wykonania Firewall skrypt iptables

SEKCJA I: Zamawiający

WYMAGANIA SPRZĘTOWE DLA SIECI LAN W INFRASTRUKTURZE POCZTY POLSKIEJ

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Enkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T

OPIS PRZEDMIOTU ZAMÓWIENIA

Instrukcja obsługi routera bezprzewodowego

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

SIWZ FORMULARZ OFEROWANYCH PARAMETRÓW TECHNICZNYCH

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Z A P Y T A N I E O F E R T O W E

Formularz specyfikacji technicznej oferowanych urządzeń sieci komputerowej i oprogramowania dla tych urządzeń

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.

PLAN KONSPEKT. do przeprowadzenia zajęć z przedmiotu. Konfigurowanie systemu Linux do pracy w sieci IP

KAM-TECH sklep internetowy Utworzono : 03 marzec 2015

Załącznik nr 6b opis przedmiotu zamówienia dla części 2

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Regulamin świadczenia Usługi Multimedia Internet przez Multimedia Polska S.A. oraz Multimedia Polska-Południe S.A.

Karta katalogowa przełączników Smart serii JetStream T1600

Kto kontroluje twój modem?

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Switche. Rozwiązania VLAN

Załącznik nr 2 do SIWZ. strona. z ogólnej liczby stron OPIS PRZEDMIOTU ZAMÓWIENIA/SPECYFIKACJA TECHNICZNA URZĄDZEŃ

WLAN bezpieczne sieci radiowe 01

Transkrypt:

Bezpieczeństwo usług a zasoby sprzętowe platformy dostępowej Ryszard Czernecki Kraków, 23 października 2012

Agenda Informacja o firmie Akademii PON i jej partnerach Bezpieczeństwo usług Zasoby procesora Przykłady Podsumowanie

Akademia PON Spotkania prowadzone przez specjalistów, w trakcie których uczestnicy poznają zagadnienia związane z projektowaniem, budową, i utrzymaniem szerokopasmowych sieci optycznych Promocja usług możliwych do świadczenia w sieciach szerokopasmowych, pozwalających przedsiębiorcom na bardziej efektywne wykorzystanie ich potencjału i maksymalizację przychodów Podstawowym celem Akademii jest popularyzacja rozwiązań FTTH oraz PON w Polsce oraz wsparcie przedsiębiorców i samorządowców w realizacji projektów budowy i utrzymania sieci szerokopasmowych.

Akademia PON Akademia PON powstała w ramach współpracy Fundacji Wspierania Edukacji Informatycznej PROIDEA i firmy Solutions for Technology. Fundacja Wspierania Edukacji Informatycznej "PROIDEA" jest niezależną, samofinansującą się organizacją typu non-profit. Zespół profesjonalistów oraz osób czynnych zawodowo z różnych dziedzin informatyki i telekomunikacji, którzy tworzą Fundację umożliwia zdobywanie wiedzy i umiejętności praktycznych poprzez: ogólnopolskie konferencje (np. PLNOG), szkolenia i warsztaty oraz obozy informatyczne. S4Tech jest działającym od 10 lat na polskim rynku telekomunikacyjnym dostawcą oraz integratorem systemów telekomunikacyjnych, który zapewnia swoim klientom pełny zakres usług i rozwiązań, od planowania i projektowania sieci poprzez dostawę, instalację i konfigurację systemów aż do utrzymania i serwisu gwarancyjnego oraz pogwarancyjnego. Oferuje przygotowane pod względem technicznym i funkcjonalnym dodatkowe usługi zarządzane z zakresu HAN/OAN oraz IP CCTV. S4Tech jest liderem w zakresie rozwiązań PON na rynku polskim.

Bezpieczeństwo usług Telecom Internet TV Im bardziej zaawansowane usługi, tym większe wymagania. Convergent Bearing FTTH FTTN/C + MSAN + DSLAM FTTB/F + LAN + xdsl + EoC Communication Security + LAN + POTS + RF + USB + WiFi Entertainment Intelligent Home FTTO + SBU support ISDN/DDN/E1 Mobile Backhaul WLAN Base station access

Bezpieczeństwo usług Platforma dostępowa PON

Bezpieczeństwo usług W jaki sposób można zdefiniować zagadnienie zapewnienia bezpieczeństwa usług? Zapewnienie bezpieczeństwa usług to zapewnienie prawidłowej i niezakłóconej realizacji usług, nie tylko z punktu widzenia parametrów SLA dla ruchu usługowego (jak przepustowość, opóźnienie), ale również z punktu widzenia ruchu kontrolnego.

Bezpieczeństwo usług Przykład realizacji usług TPS

Bezpieczeństwo usług Przykłady typowego ruchu kontrolnego w dostępowej sieci usługowej: ARP DHCP IGMP PPPoE ruch konieczny aby umożliwić komunikację IP w domenie rozgłoszeniowej, dynamiczne przydzielanie adresów IP, ruch kontrolny grup multicastowych, konieczny dla komunikacji ppp, inne jak STP, agregujące, routingu itd.

Bezpieczeństwo usług Dlaczego prawidłowe przesyłanie ruchu kontrolnego jest takie ważne? Gdy ruch kontrolny nie odbywa się prawidłowo, realizacja usług jest zaburzona. ARP DHCP PPPoE IGMP itd. VoIP, bootowanie STB, VoD itp., Internet VoIP, bootowanie STB, VoD itp., Internet Internet IPTV

Bezpieczeństwo usług Co może negatywnie wpłynąć na obsługę ruchu kontrolnego? Brak dostępnych zasobów procesora. Ruch kontrolny obsługiwany przez CPU nie odbywa się prawidłowo. Usługi nie działają prawidłowo.

Zasoby procesora Czy można wyczerpać zasoby procesora? TAK* *W szczegółach, zależy od tego jak przygotowana jest platforma i jej oprogramowanie.

Zasoby procesora W jaki sposób można wyczerpać zasoby procesora? Atak na procesor - destabilizacja pojedynczego mechanizmu i negatywny wpływ na jedną lub więcej usług, - destabilizacja wszystkich mechanizmów opartych o CPU, a co za tym idzie wszystkich usług, poprzez wyczerpanie zasobów procesora. Zjawiska w sieci, które mogą wyczerpać zasoby procesora, a które można wyeliminować przez poprawę konfiguracji urządzeń w sieci.

Zasoby procesora Jak zwykle procesor obsługuje ruch kontrolny? Ruch kierowany do CPU jest przez port wewnętrzny, na którym obsługiwanych jest kilka kolejek z priorytetem (np. 4 lub 8). Priorytetyzacja ruchu z użyciem kolejek jednak często nie wystarczy, ponieważ port fizyczny ma zwykle większą przepustowość w przeliczeniu na pps niż procesor jest ich w stanie obsłużyć. Wykorzystanie zasobów procesora przez dany mechanizm, zależy od liczby i złożoności zadań realizowanych przez dany mechanizm (czasu procesowania), jak również od wielkości i liczby pakietów kontrolnych (wykorzystania rozmiaru kolejki/bufora).

Queue Scheduler Zasoby procesora INGRESS IGMP snoop and IGMP packet? ARP snoop and ARP packet? DHCP snoop and DHCP packet? BPDU packet? Classifier IGMP packets rate-limit to 2000pps IIGMP ARP BOOTP B U F O R BPDU q7 q6 q5 q4 q3 Marker Policer Buffer Manager WRED Permit Deny Rate-limit q2 q1 STP ARP SNOOP DHCP SNOOP IGMP SNOOP q0 Queue Scheduler q7 q6 q5 q4 CPU q3 q2 EGRESS q1 q0

Zasoby procesora Jak zapobiec wyczerpaniu zasobów procesora przez pojedynczy proces? Skierować ruch do wybranej kolejki i zlimitować ją. Jeśli to możliwe zlimitować ruch w innym punkcie sieci. Poprawić konfigurację urządzeń sieciowych. To pozwoli na prawidłową obsługę pakietów kontrolnych, obsługiwanych przez inne procesy.

Przykład w oparciu o ARP Ataki Podstawowy atak to "ARP spoofing" lub "ARP poisoning" - fałszowanie wpisów w tablicy arp, ogólnie mówiąc nie jest atakiem na procesor platformy dostępowej. Jednak może być: Broadcast (unicast) arp może wyczerpać zasoby procesora jeśli w vlanie usługowym skonfigurowano interfejs IP, lub dla lepszej kontroli pakietów arp użyto mechanizmu opartego o CPU, jak arp snooping..

Przykład w oparciu o ARP Zabezpieczenia przed atakami ARP: Blokada komunikacji w warstwie 2 między użytkownikami (izolacja portów, izolacja userów na porcie PON) atak MITM Limitacja adresów MAC na porcie ONT atak ARP flooding Broadcast-strom-control na OLT i ONT atak DoS na procesor Dynamic ARP Inspection (DAI) lub ARP snooping (oparte o CPU na OLT). Mechanizm MAC flooding jeśli liczba pakietów IP i/lub arp na sekundę z danego adresu MAC przekroczy zdefiniowany próg, ruch od tego adresu MAC jest blokowany na zdefiniowany okres..

Przykład w oparciu o ARP Zadania ARP SNOOPING mogą być rozmaite: utrzymanie dynamicznej tablicy wpisów ARP filtracja pakietów ARP w wyniku inspekcji źródłowego adresu MAC w nagłówku Ethernet i ARP (aby uniknąć pakietów zmodyfikowanych w celu ataku) filtracja pakietów ARP w oparciu o tablicę np. DHCP snoop aby umożliwić wymianę ARP jedynie hostom, które poprawnie otrzymały adres IP z serwera DHCP redukcja liczby rozsyłanych pakietów ARP - może odpowiadać na zapytania ARP jeśli posiada już odpowiedni wpis w tablicy - wysyłać pakiety jedynie na port docelowy zgodnie z informacją zawartą w tablicy - zmieniać pakiet broadcastowy na unicastowy - i inne np. filtrowanie zapytań o adresy zarezerwowane: multicast, broadcast, 0.0.0.0 itp.

Przykład w oparciu o IGMP Ataki Fałszywy router multicastowy, aby zakłócić ruch kontrolny może być swojego rodzaju atakiem na CPU, gdy rozsyła stale MQ lub GQ. Atak IGMP flooding w celu zapełnienia tablicy grup multicastowych lub przeciążenia procesora (DoS).

Przykład w oparciu o IGMP Zabezpieczenia przed atakami: limitacja liczby grup multicastowych per abonent ONT, limitacja MAC adresów na port ONT, limitacja pakietów IGMP/sek. ONT, filtracja niepożądanych pakietów IGMP na portach abonenckich, konfiguracja igmp snoop w trybie proxy + fast leave + explicit host tracking.

Podsumowanie Jak się zabezpieczyć przed wyczerpaniem zasobów CPU? - limitacja kolejek do CPU, - limitacja ruchu kontrolnego generowanego przez abonenta: - na urządzeniu abonenckim, - na urządzeniu sieciowym przed OLT, - filtracja niepożądanego ruchu, - wykorzystywanie szczegółowych parametrów mechanizmów bezpieczeństwa.

Dziękuję za uwagę www.akademia-pon.eu

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres