Seminář pro správce univerzitních sí4

Seminář  pro  správce  univerzitních  sí4   •  Informace  o  nasazení  IPv6     –  v  PASNETu  a  v  univerzitní  sí3  

•  FTAS  –  Flow-­‐Based  Traffic  Analysis   –  Systém  CESNETu  pro  monitorování  provozu  

•  TERENA  CerIficate  Service  (TCS)   –  Vydávání  serverových  a  osobních  cer3fikátů  pro   potřeby  univerzity   16.  října  2012  Vladimír  Horák,  ÚVT  UK,  [email protected]  

Informace  o  nasazení  IPv6    

IPv6  ve  světě   •  IPv4  adresy  došly   •  Podpora  v  OS   –  Windows7,  Mac  OS  X,  Linux/FreeBSD/Win  

•  Dostupné  služby   –  IPv6  day  6.  6.  2012   –  Google,  Yahoo,  Facebook,  Seznam  

IPv6  v  PASNETu  -­‐  historie   •  2004  první  implementace   –  Na3vně  na  cetrální  6500   –  Koncové  sítě   •  dedikované  FreeBSD,  RIP   •  tunely   •  L2  VLAN  

•  Postupný  upgrade  ak3vních  prvků   •  Podpora  IPv6  v  hardwaru   •  BGP,  OSPFv3  

IPv6  v  PASNETu  –  současnost   •  •  •  •  • 

Na3vní  rou3ng  na  většině  páteřních  prvků   Kopíruje  topologii  IPv4   Možnost  na3vního  připojení  většiny  síi   Dedikovaný  router  pro  GRE  tunely   Používá:  AV  ČR,  CUNI,  VŠE,  AVU,  MŠMT,  ÚIV  

IPv6  v  PASNETu  -­‐  adresace   •  2001:718:1e00::/42   –  2001:718:1e00::/48  –  páteř   –  2001:718:1e01::/48  –  AV  ČR   –  2001:718:1e02::/48  –  VŠE   –  2001:718:1e03::/48  –  CUNI   –  2001:718:1e04::/48  –  AVU   –  …  

Sta3s3ky  PASNET  x  CESNET  

Sta3s3ky  PASNET  x  CESNET  

Poměr  IPv4  x  IPv6  

IPv6  na  CUNI  -­‐  konek3vita   •  Praha:   –  RUK,  areál  Jinonice,  koleje  pod  správou  ÚVT   –  Eduroam  pod  správou  ÚVT   –  MFF,  kolej  17.  listopadu   –  CTS   –  ÚJOP  

•  Hradec  Králové:  FAF   •  Poděbrady:  ÚJOP   •  Mariánské  lázně:  ÚJOP  

IPv6  na  CUNI  -­‐  služby   •  •  •  • 

DNS   WWW.CUNI.CZ  -­‐  3,1%   IS.CUNI.CZ  –  8,2%   SMTP  pro  @cuni.cz,  @ruk.cuni.cz   –  1%  ze  světa   –  10%  z  *.cuni.cz   –  1  spam/den  

Investovat  jen  do  věcí  s  podporou  IPv6   •  Hardware   –  L3  

•  Rou3ng  v  hardwaru  

–  L2  

•  FHS  (First-­‐Hop-­‐Security  –  ekviv.  DHCP  snooping,  ARP   snooping)   –  Implementováno  nebo  v  plánu  

•  Mul3cast  

–  Management  

•  Soyware  

–  Management,  monitoring,  logy   –  Aplikační  sw  

Nasazení  IPv6   •  Ne  nahrazení  IPv4,  ale  paralelně  IPv4  a  IPv6   –  Služby   –  Klien3  

•  Přechod  na  čistě  IPv6  LAN   –  NAT64  

Nasazení  IPv6  ve  fakultní  sí3   •  Přidělení  IPv6  prefixu   –  Velké  fakulty:  /52  (4096  subnetů)   –  Menší  pracoviště:  /56  (256  subnetů)  

•  Delegace  reverzních  domén   •  Konfigurace  IPv6  rou3ngu   –  Na3vní   –  GRE  tunel  (/60  prefix)  

Podpora  ÚVT   •  Konfigurace  ak3vních  prvků  (CISCO)   •  Konfigurace  DNS,  www…   •  Školení  základů  IPv6  

FTAS   Flow-­‐Based  Traffic  Analysis  System   Tomáš  Košnár,  CESNET  

FTAS   •  •  •  • 

Systém  pro  analýzu  síťového  provozu   Zdroj  dat:  NetFlow   Autor:  Tomáš  Košnár,  CESNET   Služba  pro  členy  CESNETu  

NetFlow   •  Logování  L3  provozu  rychlých  síi   –  Zajímavé  údaje:   •  Kdo  s  kým   •  Co  (protokol  –  h~p,  dns,  ping…)   •  Kdy   •  Kolik  paketů  a  byte  

–  Logování  toků  (flow),  ne  paketů  

Flow   •  Charakteris3ka  flow   –  Src,  dst,  protokol,  src_port,  dst_port  

•  Informace  o  flow   –  Charakteris3ka   –  Počet  paketů  a  bajtů   –  Čas  začátku  a  konce   –  Fyzický  interface,  AS…  

Zdroje   •  Router  (catalyst  4500,  firewall…)   •  Pasivní  sonda   –  Na  span  portu  switche   –  Na  lince  (tap)  

•  Vzorkování  (sampling)   –  Bytes-­‐measured   –  Bytes-­‐es3mated  

Architektura   •  Exporter   –  Router   –  PC  s  kartou  &  soy  

•  Kolektor   •  Soyware  pro  analýzu   •  Problém  –  velký  objem  dat,  zpracování  a   archivace  

FTAS  pro  správce  síi   •  Tabulka  pro  IP  rozsah  fakultní  sítě   •  Zdroje  –  hraniční  routery  CESNETu  

R92

R114

C7600 195.113.156.6 po102 ten2/4t ten8/3

C7600 195.113.156.8 ten2/2

2x10Gb! záložní linka! Zikova

2x10Gb! hlavní linka! Ovocný trh - KCP

ten1/1 ten4/1 po102

ten1/1

ten4/1

BGP-RUK

BGP-OVC

C6500 195.113.68.17

C6500 195.113.68.2

PASNET

FTAS  -­‐  použii   •  Top  žebříčky   •  Analýza  podivných  jevů   –  Zákaznické  sta3s3ky  h~ps://www.pasnet.cz/info   •  Nalezení  špičky  

–  FTAS   •  Selekce  podle  času   •  Top  žebříček   •  Selekce  IP  adresy   •  Podrobný  výpis  

FTAS  –  příklad    

FTAS  -­‐  přístup   •  Zkusit  se  přihlásit  na    

–  h~ps://ozzik.cesnet.cz/yas/stat.pl   –  Pokus  o  autorizaci  přes  CAS,  neúspěšně:  

•  There  is  no  access  to  FTAS  system  for  idenIty  you  are   presenIng  !!!      You  are  introducing  yourself  as  '  h~ps:// cas.cuni.cz/idp/shibboleth!hXps://Yas.cesnet.cz/shibboleth! Xzm6lwGupj2nY7sdfsfgoGF4m4s=  '.  However  you  may  be   registered  user  of  FTAS  service,  but  the  system  was  not  able  to   verify  it  automa3cally  (it  works  only  for  accounts  managed  by   Iden3ty  Provider  CESNET).  Presented  iden3ty  is  different  from   what  is  registered  in  your  FTAS  system  profile  in  that  case.  

–  Poslat  řetězec  ze  stránky  na  [email protected]  (+  jméno,   pracoviště,  rozsah  IP  adres)      

Terena  Cer3ficate  Service  

TERENA  Cer3ficate  Services   •  •  •  • 

Serverové  a  osobní  cer3fikáty   Vydává  firma  Comodo  CA  Limited   Zprostředkovává  CESNET   Cena  –  zahrnuta  v  příspěvcích  CESNETu  

•  Kontakt:  [email protected]  

Serverové  cer3fikáty   •  h~ps://tcs.cesnet.cz/req   –  Authen3kace  přes  CAS   –  Pro  cuni.cz  (domény  ve  vlastnictví  CUNI)   –  Vydání  cer3fikátu:  druhý  pracovní  den  dopoledne  

Osobní  cer3fikáty   •  h~ps://ldap.cuni.cz   –  Ověřené  heslo  v  CAS   –  Ověřená  emailová  adresa  

•  Požádat  o  cer3fikát  podle  návodu   –  h~p://pki.cesnet.cz/cs/tcs-­‐personal-­‐user.html