Zarządzanie i monitorowanie sieci komputerowych Wykład 1. CISCO w aspekcie zarządzania i konfiguracji sieci. mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Zarządzanie i monitorowanie sieci komputerowych 1
Plan wykładu CDP Cisco Discovery Protocol NBAR Network-Based Application Recognition SDN Self-Defending Network Zarządzanie i monitorowanie sieci komputerowych 2
Cisco Discovery Protocol CDP version 1 CDP version 2
Cisco Discovery Protocol Protokół CDP (Cisco Discovery Protocol), umożliwia utworzenie podstawowego obrazu sieci. Działanie protokołu CDP nie zależy od używanych mediów i protokołów. Protokół CDP służy do wykrywania urządzeń sieciowych znajdujących się w bezpośrednim sąsiedztwie. Zarządzanie i monitorowanie sieci komputerowych 4
Cisco Discovery Protocol CDP jest protokołem warstwy 2 Protokół CDP jest wykorzystywany do zbierania informacji o sąsiadujących urządzeniach Cisco Protokół CDP pracuje niezależnie od typów medium i protokołów we wszystkich urządzeniach firmy Cisco, wykorzystując protokół SNAP (Subnetwork Access Protocol). Zarządzanie i monitorowanie sieci komputerowych 5
Zbierane informacje praz CDP typy dołączonych urządzeń, interfejsy routera, do których są one dołączone interfejsy używane do nawiązywania połączeń numery modeli urządzeń Zarządzanie i monitorowanie sieci komputerowych 6
Wyświetlenie informacji CDP Zarządzanie i monitorowanie sieci komputerowych 7
TLV (Type - Length Value) Do wyświetlania informacji o sieciach bezpośrednio dołączonych do routera używane jest polecenie show cdp neighbors. Dane te są przedstawiane w formacie TLV (ang. type - length - value, typ - długość -wartość), zawierają następujące informacje (version 1): identyfikator urządzenia, interfejs lokalny, czas przetrzymania, funkcjonalność, platforma, identyfikator portu. Zarządzanie i monitorowanie sieci komputerowych 8
show cdp neighbor Zarządzanie i monitorowanie sieci komputerowych 9
TLV Dodatkowe informacje TLV (version 2): nazwa domeny zarządzania VTP, macierzysta sieć VLAN, pełny dupleks lub półdupleks. Zarządzanie i monitorowanie sieci komputerowych 10
Implementacja CDP W przypadku systemu operacyjnego Cisco IOS w wersji 10.3 lub nowszej protokół CDP jest domyślnie włączony dla wszystkich obsługiwanych interfejsów, aby możliwe było wysyłanie i odbieranie informacji CDP. Jednak w przypadku niektórych interfejsów, takich jak interfejsy asynchroniczne, protokół CDP jest domyślnie wyłączony Zarządzanie i monitorowanie sieci komputerowych 11
Implementacja i monitorowanie CDP cdp run (tryb konfiguracji globalnej) włącza protokół CDP globalnie na routerze cdp enable (Tryb konfiguracji interfejsu) Włącza protokół CDP na interfejsie clear cdp counters (Uprzywilejowany tryb EXEC) Zeruje liczniki ruchu Zarządzanie i monitorowanie sieci komputerowych 12
Implementacja i monitorowanie CDP show cdp (Uprzywilejowany tryb EXEC lub tryb EXEC użytkownika) Wyświetla odstęp czasu miedzy ogłoszeniami CDP, liczb sekund, gdy ogłoszenie CDP jest ważne dla danego portu, oraz wersję ogłoszenia show cdp entry {* nazwa_urządzenia [*][protokół wersja]} (Uprzywilejowany tryb EXEC lub tryb EXEC użytkownika) Wyświetla informacje o określonym sąsiedzie, Zakres wyświetlanych informacji można ograniczyć do informacji o protokole lub wersji. Zarządzanie i monitorowanie sieci komputerowych 13
Implementacja i monitorowanie CDP show cdp interface [typ numer] (Uprzywilejowany tryb EXEC lub tryb EXEC użytkownika) Wyświetla informacje o interfejsach, dla których włączono protokół CDP. show cdp neighbors [typ numer] [detail] (Uprzywilejowany tryb EXEC) Wyświetla typ wykrytego urządzenia, jego nazwę, numer i typ interfejsu (portu) lokalnego, liczbę sekund, przez jaką ogłoszenie CDP jest ważne dla portu, typ urządzenia, numer urządzenia oraz identyfikator portu. Użycie słowa kluczowego detail powoduje wyświetlenie identyfikatora macierzystej sieci VLAN, trybu pracy dupleksowej oraz nazwy domeny VTP powiązanej z urządzeniami sąsiednimi. Zarządzanie i monitorowanie sieci komputerowych 14
show cdp interface Zarządzanie i monitorowanie sieci komputerowych 15
show cdp neighbors Zarządzanie i monitorowanie sieci komputerowych 16
Wyłączenie protokołu CDP Zarządzanie i monitorowanie sieci komputerowych 17
Usuwanie problemów w CDP clear cdp table Usuwa z tablicy CDP informacje o sąsiadach. clear cdp counters Zeruje liczniki ruchu. show cdp traffic Wyświetla liczniki CDP, w tym liczbę wysłanych i odebranych pakietów, oraz liczbę błędów sum kontrolnych. Zarządzanie i monitorowanie sieci komputerowych 18
Usuwanie problemów w CDP show debugging Wyświetla liczniki CDP, w tym liczbę wysłanych i odebranych pakietów, oraz liczbę błędów sum kontrolnych. debug cdp adjacency Informacje CDP o sąsiadach debug cdp events Zdarzenia CDP debug cdp ip Informacje CDP dotyczące IP Zarządzanie i monitorowanie sieci komputerowych 19
Usuwanie problemów w CDP debug cdp packets CDP packet-related information cdp timer Określa. jak często system Cisco IOS wysyła aktualizacje CDP cdp holdtime Określa czas przetrzymania (hold time) wysyłany w pakiecie aktualizacji CDP. show cdp Wyświetla globalne informacje CDP, w tym informacje o zegarze i czasie przetrzymania (hold time) Zarządzanie i monitorowanie sieci komputerowych 20
Network-Based Application Recognition
Network-Based Application Recognition NBAR to jedna z funkcji systemu operacyjnego Cisco IOS (Cisco Internetwork Operating System). Cisco NBAR to jeden z najbardziej reprezentatywnych przykładów mechanizmów rozpoznających aplikacje, na podstawie generowanego przez nie ruchu, w sieciach IP. Zarządzanie i monitorowanie sieci komputerowych 22
Network-Based Application Recognition NBAR, poprzez klasyfikacje pakietów oraz przez współpracę z mechanizmami Quality of Service (QoS) stosowanymi dla sklasyfikowanego rodzaju ruchu, sprawia, że przepustowość łącza sieciowego jest używana efektywniej. NBAR posiada funkcje rozpoznające, które umożliwiają identyfikację aplikacji i protokołów z warstw od trzeciej do siódmej modelu OSI. Zarządzanie i monitorowanie sieci komputerowych 23
Co NBAR klasyfikuje? aplikacje, które używają statycznie przydzielonych numery portów TCP i UDP; protokoły IP nie wykorzystujące protokołów TCP i UDP: EGP, EIGRP, GRE, ICMP, IPINIP, IPSec; aplikacje, których klasyfikacja ruchu: HTTP na podstawie URL, nazwy hosta lub pola typu MIME; Citrix ICA; ruch RTP na podstawie pola Payload type. Zarządzanie i monitorowanie sieci komputerowych 24
Co NBAR klasyfikuje? (cd) aplikacje używające dynamicznie przydzielonych numerów portów TCP i UDP, klasyfikacja takich aplikacji wymaga inspekcji stanowej; jest to zdolność do wykrycia połączenie na podstawie analizy fazy połączenia, w której dokonywany jest przydział portów; aplikacje, których klasyfikacja oparta na głębokiej inspekcji pakietów; Zarządzanie i monitorowanie sieci komputerowych 25
Protocol Discovery NBAR posiada funkcjonalność nazwaną Protocol Discovery (wykrywanie protokołów), która umożliwia rozpoznanie protokołu używanego przez aplikację. Protocol Discovery, w czasie rzeczywistym, analizuje ruch w sieci w celu poszukiwania znanych wzorców (cech charakterystycznych) protokołów aplikacji, za pomocą, których możliwa jest ich identyfikacja. Zarządzanie i monitorowanie sieci komputerowych 26
Statystyki NBAR NBAR Protocol Discovery zajmuje się także dostarczaniem funkcjonalności prowadzenia statystyk dla protokołów, które transmitowane są przez aktywne interfejsy sieciowe. Statystyki zawierają: całkowitą ilość pakietów rozmiar pakietów wychodzących i przychodzących na dany interfejs szybkość ich transmisji. Zarządzanie i monitorowanie sieci komputerowych 27
IOS a NBAR NBAR pojawił się w IOSie 12.0(5)XE2 Jest dostępny w podstawowej wersji oprogramowania Jest dostępny nawet na małych platformach. Zarządzanie i monitorowanie sieci komputerowych 28
Przykład router# show ip nbar protocol-discovery Input Output Protocol Packet Count Packet Count Byte Count Byte Count 5 minute bit rate (bps) 5 minute bit rate (bps) Pierwsza linijka to odpowiednio ilość pakietów wchodzących i wychodzących, które sklasyfikowano jako należące do danego protokołu Kolejna linijka to ten sam podział na ruch wchodzący i wychodzący, ale wyrażony w bajtach Ostatnia linijka to aktualne statystyki za ostatnie 5 minut pracy, w bitach na sekundę Zarządzanie i monitorowanie sieci komputerowych 29
Przykład router# show ip nbar protocol-discovery Serial0/0.99 Input Output Kazaa2 386586 338412 403005080 121530825 567000 380000 http 393493 205820 322833938 103136747 123000 122000 ssh 263541 158289 391470822 9749154 220000 10000 Zarządzanie i monitorowanie sieci komputerowych 30
Self-Defending Network Cisco Network Admission Control
Wprowadzenie Zagrożenia ze strony wirusów i robaków sieciowych (worms) stawiają bardzo trudne zadanie dla systemów antywirusowych W celu lepszej ochrony przed tymi zagrożeniami niezbędna jest współpraca pomiędzy urządzeniami sieciowymi a systemami antywirusowymi Zarządzanie i monitorowanie sieci komputerowych 32
Wprowadzenie W przypadku wystąpienia ataku wirusów w systemie informatycznym, bardzo trudno jest skutecznie wyizolować zainfekowane urządzenia Szybkość rozprzestrzeniania się infekcji jest zdecydowanie większa od szybkości usuwania zagrożenia Zarządzanie i monitorowanie sieci komputerowych 33
Problem złożoności współczesnych środowisk sieciowych Wiele typów użytkowników końcowych (pracownicy, dostawcy, partnerzy) Wiele typów urządzeń końcowych uzyskujących dostęp do sieci korporacyjnej (stacje robocze, urządzenia przenośne, serwery) Wiele metod dostępu do sieci (przewodowy, bezprzewodowy, VPN, dostęp wdzwaniany) Wiele typów serwisów które wykorzystują wspólnie sieć (dane, e-commerce, VoIP, serwisy intranetowe i extranetowe itp.) Zarządzanie i monitorowanie sieci komputerowych 34
Cisco Network Admission Control Network Admission Control (NAC) jest nową inicjatywą zapoczątkowaną i sponsorowaną przez Cisco Systems, wykorzystującą infrastrukturę sieciową do weryfikacji reguł polityki bezpieczeństwa na wszystkich urządzeniach podłączanych do sieci firmowej w celu ograniczenia zniszczeń powodowanych przez wirusy Zarządzanie i monitorowanie sieci komputerowych 35
Cisco Network Admission Control Wykorzystujące technologię NAC, administratorzy mogą zapewnić automatyczną weryfikację wszystkich podłączanych do sieci urządzeń Urządzenia nie spełniające polityki mogą podlegać ograniczonemu (access list) dostępowi do sieci korporacyjnej, lub zostać oddzielone od sieci korporacyjnej Zarządzanie i monitorowanie sieci komputerowych 36
Cisco Network Admission Control Cisco NAC jest dostępne od czerwca 2004 - w postaci fazy pierwszej, wraz z pojawieniem się wersji oprogramowania Cisco IOS 12.3.(8)T w wersjach oprogramowania które zawierają funkcje związane z bezpieczeństwem. Wspierane są obecnie routery: Cisco 72xx Cisco 37xx Cisco 3640 oraz 3660-ENT Cisco 2600XM oraz 2691 Cisco 1701, 1711, 1712, 1721, 1751, 1751-V, 1760 Cisco 83x Zarządzanie i monitorowanie sieci komputerowych 37
Cisco Network Admission Control System NAC tworzą następujące elementy: Cisco Trust Agent (CTA) Urządzenie dostępowe Serwer polityk NAC Zarządzanie i monitorowanie sieci komputerowych 38
Cisco Trust Agent Cisco Trust Agent (CTA) - aplikacja zainstalowana na każdej stacji. Agent ten zbiera informacje dotyczące systemu na którym jest zainstalowany oraz z współpracujących z CTA aplikacji - np. aplikacji antywirusowych czy też Cisco Security Agent - oraz przesyła te informacje do urządzenia dostępowego. Zarządzanie i monitorowanie sieci komputerowych 39
Urządzenie dostępowe Urządzenie dostępowe - urządzenie sieciowe które realizuje dostęp urządzeń do sieci - routery, przełączniki sieciowe czy też zapory ogniowe. Urządzenia dostępowe pośredniczą w pobraniu z CTA zestawu parametrów aplikacji a następnie przesyłają je do serwera polityk NAC (Policy server) gdzie następuje weryfikacja zgodności danej stacji z ustaloną polityką. Zarządzanie i monitorowanie sieci komputerowych 40
Serwer polityk NAC Serwer polityk NAC - elementem na którym definiowane są polityki jest Cisco Secure Access Control Server (ACS) - serwer RADIUS. Cisco ACS weryfikuje zgodność konfiguracji danego urządzenia z zdefiniowaną polityką. W przypadku rozwiązania antywirusowego, rolę dodatkowego (współpracującego z Cisco ACS) serwera polityk pełni moduł aplikacji antywirusowej np. TrendMicro OfficeScan 6.5. Zarządzanie i monitorowanie sieci komputerowych 41
Wspierane systemy operacyjne Cisco zapewnia również wsparcie aplikacji monitorującej i raportującej - CiscoWorks Security Information Managementy Solution (SIMS). Obecnie wspierane systemy operacyjne dla aplikacji Cisco Trust Agent to: Windows XP Professional Windows 2000 Professional / Server Windows NT 4.0 Zarządzanie i monitorowanie sieci komputerowych 42
Wspierane systemy operacyjne Systemy antywirusowe które umożliwiają współpracę z Cisco NAC w fazie pierwszej to: Trend Micro OfficeScan Corporate Edition 6.5 McAfee VirusScan Enterprise 7.0, 7.1, oraz 8.0i Symantec AntiVirus 9.0 oraz SCS 2.0 Zarządzanie i monitorowanie sieci komputerowych 43
Parametry Dla powyższych rozwiązań antywirusowych, aplikacja antywirusowa może przekazać za pośrednictwem Cisco Trust Agent następujące parametry: Nazwę aplikacji oraz identyfikator Wersję aplikacji Wersję silnika skanującego Wersję pliku z wzorcami wirusów Stan aplikacji antywirusowej (włączona czy też nie) Data aktualnego pliku z wzorcami wirusów Zarządzanie i monitorowanie sieci komputerowych 44
Cisco Network Admission Control Zarządzanie i monitorowanie sieci komputerowych 45
Cisco Network Admission Control Zarządzanie i monitorowanie sieci komputerowych 46
Plany na przyszłość wsparcie dla innych urządzeń sieciowych - przełączników serii Cisco Catalyst, koncentratorów serii VPN 3000 itp. rozszerzenia protokołów komunikacji pomiędzy urządzeniami sieciowymi a stacjami o protokoły warstwy 2 oraz 802.1X szersze wsparcie ze strony firm trzecich oraz innych aplikacji szersze wsparcie dla różnych systemów operacyjnych Zarządzanie i monitorowanie sieci komputerowych 47
Plany na przyszłość wsparcie dla aplikacji skanujących wykrywających urządzenia które nie mogą współpracować z NAC (np. drukarki sieciowe, telefony IP) mechanizmy różnicowania polityk dla tych urządzeń. nowe, mobilne mechanizmy implementacji NAC integrację agenta CTA z większą ilością aplikacji Zarządzanie i monitorowanie sieci komputerowych 48
Zarządzanie i monitorowanie sieci komputerowych Wykład KONIEC Zarządzanie i monitorowanie sieci komputerowych 49