implementace a monitoring ipv6 v e-infrastruktuře cesnet
TRANSCRIPT
![Page 1: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/1.jpg)
Implementace a monitoring IPv6 v e-infrastruktuře CESNET
Tomáš Košňar
CESNET z. s. p. o.
Seminář IPv6
ČVUT FEL, 6. 6. 2016
![Page 2: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/2.jpg)
Agenda
● Historie implementace IPv6 v sítích sdružení CESNET
● Jak IPv6 monitorujeme ?
● Využití IPv6 v e-infrastruktuře CESNET ?
● A co bezpečnost ?
![Page 3: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/3.jpg)
Historie IPv6 v sítích sdružení CESNET
● 1999 - 2. 6. zahájeno vytváření IPv6 sítě; IPv4 tunely k Telebit a na Slovenskou technickou univerzitu v Bratislavě; lokality v Liberci, Hradci Králové (vyhrazené ATM PVC), Brně a Českých Budějovicích (IPv4 tunely) ~ kontext - ATM páteř 155Mb/s, připojení do NIX.CZ 8→50 Mb/s
● 1999 - 16. 7. zahájen provoz překryvné sítě IPv6
● 2000 – IPv6 páteř, testování RIPng, OSPFv3 a BGP4+
![Page 4: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/4.jpg)
Historie IPv6 v sítích sdružení CESNET
● 2001: přestavba IPv6 sítě (změna technologie sítě); oficiální prefix; rozšíření adresního prostoru pro 6bone; strategie přidělování adres, přeadresování páteře
● 2002: IPv6 „ještě v tunelech“
● 2003: MPLS, IBGP
● …dále → řešení konkrétních oblastí problematiky
– Multicast, CoPP, … → technické zprávy
● http://archiv.cesnet.cz/doc/techzpravy/2007/cesnet-ipv6-multicast/● http://archiv.cesnet.cz/doc/techzpravy/2010/ipv6-copp/
![Page 5: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/5.jpg)
Implementace IPv6 v e-infrastruktuře CESNET
● Současnost
– Dual-stack v MPLS, multicast v6 v globální tabulce (stejně jako IPv4 - viz. technická správa)
● Bezpečnost – pro obě verze protokolu stejná principiální řešení, odlišnost v implementaci závislosti na rozdílnosti chování protokolů– Pozn.: jde páteř, ne o koncovou síť– CoPP (viz. technická zpráva)– Semi-automatická ochrana před amplifikačními útoky– RTBH jako služba– NetFlow export
![Page 6: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/6.jpg)
Implementace IPv6 v e-infrastruktuře CESNET
MPLS core
IPv4/6PE
IPv4 IPv4
IPv4/6PE
IPv4/6PE
IPv4/6PE
Routing – IPv6 unicast
IPv4 LDP IPv4 LDP
IPv4 LDP IPv4 LDP
IPv4/IPv6 IPv4/IPv6 IPv4/IPv6
![Page 7: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/7.jpg)
Implementace IPv6 v e-infrastruktuře CESNET
MPLS core
IPv4/6PE
IPv4/IPv6
IPv4/IPv6
IPv4/6PE
IPv4/6PE
IPv4/6PE
Routing – IPv6 multicast
IPv4/IPv6 IPv4/IPv6
IPv4/IPv6 IPv4/IPv6
IPv4/IPv6 IPv4/IPv6 IPv4/IPv6
![Page 8: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/8.jpg)
Jak IPv6 monitorujeme ?
● ...standardně
● Stejné nástroje pro v6 jako pro v4 ← dlouhodobá „přítomnost“ IPv6 v síti
- HW akcelerované sondy- plošný monitoring IP provozu na bázi toků (zdroje provozních informací)- Honey Pots- IDS a IPS systémy apod. - monitoring infrastruktury na bázi SNMP
![Page 9: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/9.jpg)
Jak IPv6 monitorujeme ?
● „low-level“ monitoring infrastruktury – G3 systém (SNMP, ...)● Sběr, zpracování, vizualizace dat o stavu, chování infrastruktury;
reporting, detekce a vizualizace anomálií● Standardní rozšíření v oblasti identifikace objektů o IPv6 parametry
![Page 10: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/10.jpg)
Jak IPv6 monitorujeme ?
● ..a rozšíření o relevantní obsahové informace
![Page 11: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/11.jpg)
Jak IPv6 monitorujeme specificky ?
● Na perimetru – HW akcelerované sondy
![Page 12: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/12.jpg)
Jak IPv6 monitorujeme specificky ?
● Plošně v celé e-infrastruktuře - FTAS
![Page 13: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/13.jpg)
Využití IPv6 v e-infrastruktuře CESNET
● Pozn.: ukázky IPv6 provozu se týkají nativně přenášeného IPv6 provozu
![Page 14: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/14.jpg)
Využití IPv6 v e-infrastruktuře CESNET
● Využití adresového IPv6 prostoru v komunitě
● Periodický FTAS reporting → přemapování v6 Src-IP na /64 hodnotu → výsledkem jsou „v6/64 prefixy“, ke kterým byl v daném měsíci identifikován provoz
![Page 15: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/15.jpg)
Využití IPv6 v e-infrastruktuře CESNET
● Využití adresového IPv6 prostoru v komunitě
● „významný výskyt“ ?
● Scan efekty ?
● → denně >= 65k, celkem >= 1MB/měsíc
● 1029 → 882 → cca -14%
![Page 16: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/16.jpg)
Využití IPv6 v e-infrastruktuře CESNET
● Podíl objemu IPv6 provozu z/do/v e-infrastruktuře● FTAS filtr s přemapováním hodnot a statistickým zpracováním
– Klasifikace veškerého provozu podle interních prefixů → rozdělení provozu na externí příchozí/odchozí a vnitřní (z hlediska e-infrastruktury)
– On-fly přemapování v4 a v6 adres na „normalizované“ hodnoty → zvoleno 0.0.0.0, ::/16 → agregace a statistické zpracování po dnech, kompenzace rozdílů daných rozdílnou úrovní vzorkování zdrojových dat → důraz na poměr, nikoli na absolutní hodnoty
![Page 17: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/17.jpg)
Využití IPv6 v e-infrastruktuře CESNET
![Page 18: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/18.jpg)
Využití IPv6 v e-infrastruktuře CESNET
![Page 19: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/19.jpg)
Využití IPv6 v e-infrastruktuře CESNET
![Page 20: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/20.jpg)
Využití IPv6 v e-infrastruktuře CESNET
● Pro porovnání ad-hoc krátká statistika pracovní stanice (Debian GNU Linux), bežný provoz, významná část provozu - relativně menší radius
![Page 21: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/21.jpg)
A co bezpečnost ?
● Doposud nižší frekvence výskytu oproti IPv4; reálná ukázka – detekce externích zdrojů „TCP SYN only“ (relativně měkké limity):
Notification : 2607:ff10:c5:509a:0:0:0:10 (source IP) - TCP SYN against internal IP address ranges, sources (150 secs. duration) - DETECTEDMeasured values : 1800334646.00 flows, 108020078760.00 bytes, 1800334646.00 packets, packet size 60.00 bytes, duration 135.00 secondsDetector : FTAS system at gc15.cesnet.cz - detector uses extrapolated values (bytes, packets) in case of sampled flows; detector fragments long (duration) flows into 3s intervals for evaluation purposesDetection limits : Flow-Cnt>=0.333 kf/s or Flow-Cnt>=0.333 f/s and Pkts-estimated>=3.333 kp/s within period of 3 seconds and overall duration>=90% of 150 secs period
Flows time range : 16/05/21 22:56:55-16/05/21 23:01:26 CEST +0200Observed : Sat May 21 22:57:27 2016 - Sat May 21 23:02:24 2016 CEST +0200Events total : 91Next message not before : 16/05/21 23:02:27 CEST +0200 in case of continuous detection or 600 seconds after last detection
Sample of corresponding traffic information (100 records max.):
Forwarded: 2607:ff10:c5:509a:0:0:0:10 tcp(6)/49717 --> 2001:67c:1220:xxx:xxxx:xxxx:xxc0:9373 tcp(6)/daytime(13): 60/60 B, 1/1 p, 60 Bpp, 20:58:51[GMT], 22:58:51[CEST +0200], +0.000000 s, tos=00000000, tcp_flags=syn(2)Forwarded: 2607:ff10:c5:509a:0:0:0:10 tcp(6)/49717 --> 2001:67c:1220:xxx:xxxx:xxxx:xxc0:9373 tcp(6)/systat(11): 60/60 B, 1/1 p, 60 Bpp, 20:58:51[GMT], 22:58:51[CEST +0200], +0.000000 s, tos=00000000, tcp_flags=syn(2)Forwarded: 2607:ff10:c5:509a:0:0:0:10 tcp(6)/34680 --> 2001:67c:1220:xxx:xxxx:xxxx:xxc0:9374 tcp(6)/gnunet(2086): 60/60 B, 1/1 p, 60 Bpp, 20:58:51[GMT], 22:58:51[CEST +0200], +0.000000 s, tos=00000000, tcp_flags=syn(2)Forwarded: 2607:ff10:c5:509a:0:0:0:10 tcp(6)/30705 --> 2001:67c:1220:xxx:xxxx:xxxx:xxc0:9374 tcp(6)/cisco-sccp(2000): 60/60 B, 1/1 p, 60 Bpp, 20:58:51[GMT], 22:58:51[CEST +0200], +0.000000 s, tos=00000000, tcp_flags=syn(2)
![Page 22: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/22.jpg)
A co bezpečnost ?
● Agregace + průběh v čase ~ „flow rate“
![Page 23: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/23.jpg)
A co bezpečnost ?
● Agregace a třídění podle cílových adres
![Page 24: Implementace a monitoring IPv6 v e-infrastruktuře CESNET](https://reader030.vdocuments.site/reader030/viewer/2022020723/5870cc281a28abac768b9a73/html5/thumbnails/24.jpg)
Díky za pozornost a trpělivost...
?? ?
???
? ?? ?
? ??