Uvod u mreže

Uvod u mreUvod u mrežžee

Hrvoje PopovskiSveučilišni računski centar (SRCE)

SadrSadržžajaj

v Uvodv Lokalne mreže – najbolja praksav Tehnologije akademske mrežev Nadzor akademske mreže - Netflowv Dodatak

w OSI model

UvodUvod

MMrerežže su?e su?

v Što su mreže?

w Računalne mreže su bilo kakav skup računala ili ureñaja meñusobno povezanih s mogućnošću razmjene podataka

Povijest mrePovijest mrežžaa

v Povijest mrežžžža

w 1940 - George Stibitz koristi telepisač za slanje seta instrukcija iz New Hampshire-a u New York

w 1962 - ARPA zapošljava J.C.R Licklider-a za daljnji razvoj, a projekt se zove „Intergalactic Network“

w 1969 - UCLA – UCSB – UU povezuju se 50 kbit/s brzinama, i to je početak ARPANet-a

w 1972 – prvi komercijalni mrežni servis, za prijenos podataka koristi se X.25 tehnologija (preteča današnjeg IP-a)

Klasifikacija raKlasifikacija raččunalnih mreunalnih mrežžaa

v LAN – Local area network

v WAN – Wide area network

v PAN – Personal area network

v CAN – Campus area network

v MAN – Metropolitan area network

v SAN – Storage area network

v WLAN – Wireless Local area network

v WWAN - Wireless Wide area network


v LAN – Local area network

w Pokriva relativno malo geografsko područje kao što je kuća, ured ili zgrada (cca 1m – 1000m)

w Temelji se na ethernet tehnologijiw Računala mogu biti povezana žičano ili bežičnow Karakterizira ih velika brzina prijenosa podataka (10 Gbit/s).

Trenutno se razvija brzina od 100 Gbit/sw Sa stanovišta sigurnosti mreža zaštita LAN-a je prioritet


v WAN – Wide area network

w Pokriva veliko geografsko područje kao što je država, kontinent, satelitska komunikacija (cca 100 km – 100,000 km)

w Najpoznatiji primjer WAN-a je Internetw Za prijenos podataka koriste se razne tehnologije (Ethernet,

Frame Relay, ATM, SONET/SDH…)w Zbog zaštite rada mreže pristup WAN ureñajima mora biti

kontroliran od strane NOC-a


v PAN – Personal area network

w Pokriva male udaljenosti do 10 mw Infrared, bluetooth

v MAN/CAN – Metropolitan/Campus area network

w Gradska mreža i kampus mrežaw Optički vodovi, bežično povezivanje

Distribucija PristupOkosnica


v Mrežžžžna hijerarhija

OSI modelOSI modelv Open Systems Interconnection Basic Reference Model

Apstraktni opis dizajna protokola komunikacijskih i računalnih mreža, predstavljen u obliku sedam slojeva

OSIOSI

v Osmislili su ga ISO i ITU-T zbog standardizacije u mrežnoj komunikaciji

v Koristi se jer:w Dijeli mrežne operacije u manje kompleksne cjelinew Omogućuje stručniji razvoj i dizajn odreñenog OSI slojaw Sprječava utjecanje promjena u jednom sloju na druge slojevew Omogućuje mrežnim dizajnerima odabir ispravnih mrežnih ureñaja

specijaliziranih za odreñeni slojw Pomaže u testiranju i otkrivanju grešaka u mreži

Lokalne mreLokalne mrežžee


v Zapamtite dvije stvari

w Simplicity Principle• http://tools.ietf.org/html/draft-ymbk-arch-guidelines-05

w Ross Callon in RFC 1925:• “Some things in networking can never be fully understood by

someone who neither builds commercial networking equipment norruns an operational network.“


v The Fundamental Truths – RFC 1925w (1) It Has To Work. w (2) No matter how hard you push and no matter what the priority,

you can't increase the speed of light. • (2a) (corollary). No matter how hard you try, you can't make a

baby in much less than 9 months. Trying to speed this up *might* make it slower, but it won't make it happen any quicker.

w (3) With sufficient thrust, pigs fly just fine. However, this is not necessarilya good idea. It is hard to be sure where they are going to land, and itcould be dangerous sitting under them as they fly overhead.

w (4) Some things in life can never be fully appreciated nor understoodunless experienced firsthand. Some things in networking can never befully understood by someone who neither builds commercial networkingequipment nor runs an operational network.

w (5) It is always possible to aglutenate multiple separate problemsinto a single complex interdependent solution. In most cases this is a badidea.

Lokalne mreLokalne mrežžeew (6) It is easier to move a problem around (for example, by moving the problem to a

different part of the overall network architecture) than it is to solve it. • (6a) (corollary). It is always possible to add another level of indirection.

w (7) It is always something• (7a) (corollary). Good, Fast, Cheap: Pick any two (you can't have all three).

w (8) It is more complicated than you think. w (9) For all resources, whatever it is, you need more.

• (9a) (corollary) Every networking problem always takes longer to solve than itseems like it should.

w (10) One size never fits all. w (11) Every old idea will be proposed again with a different name and a different

presentation, regardless of whether it works. • (11a) (corollary). See rule 6a.

w (12) In protocol design, perfection has been reached not when there is nothing leftto add, but when there is nothing left to take away.


v Sigurnost fizičkog sloja

w Svjesnost zaposlenika o važnosti sigurnostiw Identifikacijska karticaw Praćenje ulaska, izlaska i akcija zaposlenikaw Informiranje o posjetiteljima i svrsi njihovog posjetaw Pametne kartice, biometričke tehnologije (glas, otisak prstiju,

šarenica oka)w Znati kome se obratiti u slučaju problema


v Pojmoviw VLAN – Virtual Local Area Networkw MAC adresa – Media Access Control adresaw STP – Spanning tree Protocol

• Podvrste – RSTP (rapid), PVSTP (per vlan), MSTP (multiple)w BPDU - Bridge Protocol Data Unitsw CDP – Cisco Discovery Protocolw LLDP – Link Layer Discovery Protocolw VTP – Virtual Trunking Protocolw DTP – Dynamic Trunking Protocolw ACL – Access-Listw Trunk/Access portw HSRP – Hot Standby Routing Protocol


v VLAN – Virtual Local Area Networkw grupiranje hostova na sloju 2 (dijeljenje broadcats domene)w VLAN ima iste karakteristike kao LANw poboljšana sigurnost, skalabilnost, managementw switchevi ne prenose IP promet, to rade routeriw nakon kreiranja VLAN-a on se pridodjeljuje portuw 4096 VLANova

v Trunk port (tagged port)w port kroz koji prolazi više vlanova

v Access portw port prema korisnicima


v VLANw 802.1q – VLAN tagging

• da bi se moglo propustiti više vlanova kroz port potrebno je posebno označiti takav okvir (frame), to se zove 802.1q tag

• port kroz koji prolazi više vlanova zove se trunk ili tagged port


v Access port – korisnički portoviw fizički portovi prema korisnicimaw isključiti sve protokole koji se mogu – CDP, DTP ..etc


v MAC adrese – Media Access Controlw fizička adresa – physical addressw 48 bitovaw npr. 00-11-0A-81-01-21w 00-11-0A (hex) HP


v MAC flooding – overfloww svaki switch ima limitiranu

MAC tablicu

w napad će prepuniti MACtablice svih switcheva u sloj 2 domeni

w macof – može generirati 155,000 MAC zapisa

• switch se može ubiti za cca 70 sekundi


v Jednostavan LANw nema STP-a, nema loopova

w nema redudancijew jedna broadcast domenaw portovi prema hostovima – CDP, STP, DTP, Vlan 1


v Redudancijaw Spanning tree (STP), mogući loopovi

w BPDU porukew STP stanja portova:

• Blocking• Listening• Learning• Forwarding• Disabled

w Odabir root bridge-a


v Spanning-tree attackw F – forwardw B - blocked


v Yersinia


v Yersinia i STP


v Idemo kompliciratiw Za ovakvim spajanjem nema potrebe


v Core, distribucija, accessw redudancijaw switchevi nisu ovisni jedan o drugom


v Sada je sve spojeno, redudantno i sve radi !

v Portovi prema hostovima – jošuvijek CDP, DTP

v Kako je jošmože napasti switcheve ? ☺


v CDP – Cisco Discovery Protocolw protokol je u vlasništvu Ciscaw služi za dijeljenje informacija izmeñu direktno povezenih switcheva

kao što su: • verzija operativnog sustava• ip adresa• VTP domena• Native Vlan

w Hello - multicast adresa 01-00-0c-cc-cc-cc


v CDP – Cisco Discovery Protocol


v VTP – VLAN trunking protocolw protokol je u vlasništvu Ciscaw olakšava administraciju switcheva tako što distribuira vlanove po

switchevinaw 4 moda rada – VTP server, client, transparent (off)w verzije 1,2 (plain text) i 3 (MD5 autetikacija)

v Može li se napasti VTP? Yersinia! ☺


v VTP – VLAN trunking protocol


v HSRP – Hot Standby Routing Protocolw protokol je u vlasništvu Ciscaw Cisco verzija VRRP-a (Virtual Router Redundancy Protocol) (RFC

3768)w služi za uspostavu redundantnog gatewaya izmeñu više routeraw Hello paketi se šalju na multicast adresu 224.0.0.2 koristeći

UDP/1985


v LAN - najbolje praksa

w Administrirati switcheve što je sigurnije moguće (ssh, acl, etc)w Koristiti odreñene vlanove kroz trunkovew Ne koristiti vlan 1w Portove prema korisnicima staviti u access mode

w Postaviti port-security gdje je to mogućew SNMP-om nadzirati ureñajew Omogućiti STP security feature (BPDU guard, Root guard, Loop

guard)w Omogućiti CDP samo gdje je potrebnow Isključiti sve portove koji se ne koriste


v Management switcheva

w Bilo koji security feature ništa ne vrijedi ako napadač može telnetom/ssh pristupiti na ureñaj

w Koristiti sigurnije inačice dobro znanih mgmt protokola (syslog, snmp, tftp, telnet, etc) kao npr. (ssh, scp, snmpv3)

w Dodijeliti mgmt vlanu nestandardni Vlan ID, npr. 456w U mgmt vlanu ne dopustiti nikakav drugi promet osim mgmt

prometa


MreMrežžne tehnologijene tehnologije


v Multi Protocol Label Switching (MPLS) w Funkcionira na sloju 2 i 3 – “Sloj 2.5”w Osim IP može prenositi ATM, Ethernet i ostale okvire

v Format labelew 32 bita

• Label value – 20 bita• Exp bitovi (Qos) – 3 bita• S bit (Bottom of stack) – 1 bit• TTL (Time to live) – 8 bitova

v LDP – Label Distribution Protocolw Svrha mu je distribucija labela u MPLS mrežamaw Oslanja se na routing protokole (OSPF, ISIS)w UDP/646 za Hello paketew Uspostavljanje LDP sesije TCP/646


v MPLS labela


v MPLSw QoS Support

• IP je connectionless dok LDP koristi TCP za uspostavljanje LDP sesije

w Traffic Engineeringw VPN Support

• L2 VPN-ovi• L3 MPLS/BGP VPN-ovi• VPLS - Virtual private LAN service


v Metro Ethernetw Metropolitan Area Network (MAN) bazirane na Ethernetuw Ethernet je jeftina tehnologijaw core, distribution, access


v Metro Ethernetw Čisti Ethernetw Ethernet over MPLSw Ethernet over DWDM

v Čisti Ethernetw sloj 2 switcheviw MAC tablicew IEEE 802.1ad (Provider Bridges) – nadopuna 802.1qnqw IEEE 802.1ah (Provider Backbone Bridges) – Mac in Mac w IEEE 802.1Qay (Provider Backbone Transport).

MreMrežžne tehnologijene tehnologijev 802.1ad - VLAN unutar

VLAN-a - Q-in-Qw ograničenje VLAN-ova je 4096;

za providera to je problemw q-in-q omogućava davateljima

usluge da unutar jednog vlanakorisnik može koristiti svoje vlanove

w ostaje ograničenje po MAC-ovima


v 802.1ah - Provider Backbone Bridgesw za razliku od QinQ-a koji ne razlikuje klijente od davatelja usluga,

nego samo nudi tuneliranja vlanova unutar vlanova, 802.1ah nudi odvajanje klijenata od davatelja usluga

w time se rješava problem MAC tablica, odvajaju se STP instance davatelja usluga i korisnika


v Ethernet over MPLS (over Ethernet)w koristi se MPLS u mreži davatelja uslugaw LDP za signalizaciju – potreban routing protokolw skalabilnost – više od 4096 Vlanova

• vlanovi postaju lokalni isto kao i MAC adresew elastičnost – oslanjanje na MPLS mehanizme što se tiče

konvergencije, a ne na STP

v Point-to-point servis w L2 tuneli (xconnect, l2tpv3)

v Multipoint-to-multipoint servis w VPLS - Virtual private LAN service w TLS - Transparent LAN Service


v u-PE – user-facing providers edgev n-PE – network-facing providers edgev CE – customer edge

NetflowNetflow

NetflowNetflow

v Netfloww Netflow tehnologijom prati se profil mrežnog prometa zasnovanog

na flow-ovima. w Razvijen 1996 u «Cisco Systems» (Darren Kerr i Barry Bruins)

NetFlow je danas vodeća tehnologija za praćenje, eksport te za izradu statistike usmjerenih socket parova.

w Omogućen je skoro na svim Cisco, Juniper, Extreme i drugim routerima i sloj 3 switchevima.

w Kada mrežni administrator omogući NetFlow eksport na routerima,statistika paketa na sučelju mjeri se u «flow» i sprema se u dinamički «flow cache».

w Flow je definiran kao jednosmjerna sekvenca paketa (znači da postoje dva flow-a za svaku konekciju; jedna sa servera prema klijentu i jedna s klijenta prema serveru) izmeñu dvije krajnje točke.

NetflowNetflow

v Flow definiraju sedam jedinstvenih stavki:w Source IP addressw Destionation IP addressw Source portw Destination portw Layer 3 protocol typew TOS byte (DSCP)w Input logical interface (ifIndex)

v Svaki put nakon primljenog paketa router pogleda tih sedam stavki i odlučuje :w ako paket pripada već postojećem flow-u, statistika prometa

postojećeg flow-a bit će uvećanaw ako paket ne pripada niti jednom postojećem flow-u usmjerivač

stvara novi flow

NetflowNetflow

v Prema Ciscu novi flowovi se konstantno stvaraju, a istekli flow zapisi bit će eksportirani UDP-om na definirani kolektor ako postoji jedan od uvjeta :w transportni protokol (TCP) označava da je konekcija završena

(TCP FIN) i postoji malo kašnjenje koje dopušta potpuni završetak «FIN acknowledgment handshaking»

w neaktivni flow istječe za 15 sekundiw za flow-ove koji su konstantno aktivni, flow cache zapisi istječu

svakih 30 minuta da se periodički eksportira statistika aktivnih flow-ova

NetflowNetflow

v Verzije Netflow-aw verzija 5

• najviše upotrebljavana - uobičajena

NetflowNetflow


• specifična za Cisco Catalyst serije 6500 i 7600 (NetFlow cachejednak je MLS cache)

w verzija 8• podržava agregaciju i sumariziranje Netflow podataka• smanjuje NetFlow eksport zahtjeve za propusnost

NetflowNetflow


• najnovija verzija NetFlow-a (Multicast NetFlow v9, MPLS awareNetFlow v9, BGP next-hop v9, NetFlow for Ipv6)

NetflowNetflow

v Prijenosni protokol w Eksport NetFlow podataka (paketa) prema kolektoru :

• potrebno je definirati source interface, destination ip address i port• podaci se prenose UDP-om po denifiranom portu

NetflowNetflowv Netflow kolektori - software

w flow-tools• flow-capture

– Skladišti flow arhive i briše stare flow-ove.• flow-cat

– Niže flow arhive. Obično flow arhive sadrže 5 do 15 minuta eksporta. Flow-cat se može koristiti za nadodavanje arhiva kod generiranja statistika većih vremenskihperioda.

• flow-filter – Filtrira flow-ove po bilo kojem od eksportiranih polja. Flow-filter se koristi u

neposrednoj vezi s programima za generiranje izvještaja na osnovi prilagoñenihfilterskih izraza

• flow-split – Dijeli flow arhive u manje arhive na osnovi veličine, vremena ili oznake

• flow-dscan– Jednostavan alat za detektiranje raznih anomalija u mreži i Denial of Service

napada• flow-expire

– Poseban program koji briše stare flow-ove. Flow-capture ima opciju koja radiidentičnu zadaću.

• flow-stat – Generira reporte od flow podataka

NetflowNetflow

v Netflow kolektori – software

w nfdump – podržava verziju 9, kompatibilan s flow-toolsimaw Scrutinizer NetFloww Paessler Netfloww ntop ...

NetflowNetflow u CARNet mreu CARNet mrežžii

CARNetCARNet mremrežžaa

ZG KockaZG Kocka

Documents

Uvod u mreže