Att Säkra Internet Backbone



Relevanta dokument
Säker IP telefoni? Hakan Nohre, CISSP

DIG IN TO Nätverkssäkerhet

DIG IN TO Administration av nätverk- och serverutrustning

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

DIG IN TO Administration av nätverk- och serverutrustning

DIG IN TO Administration av nätverk- och serverutrustning

Laboration 4 Rekognosering och nätverksattacker

Datakommunikation. Nätskiktet. Routers & routing

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Denial of Services attacker. en översikt

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

DIG IN TO Administration av nätverk- och serverutrustning

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Nätverksteknik A - Introduktion till VLAN

DIG IN TO Administration av nätverk- och serverutrustning

ETS052 Internet Routing. Jens A Andersson

Brandväggs-lösningar

Önskemål kring Studentstadens bredband och UpUnet-S

5 Internet, TCP/IP och Tillämpningar

Datakommunikation vad är det?

============================================================================

Säkerhet i gränsrouting

Systemkrav och tekniska förutsättningar

IPv6 i Stadsnät. Anders Löwinger, PacketFront

Villkor för samtrafik och tillträde i den framtida ITinfrastrukturen

Nätverksteknik A - Introduktion till Routing

Viktigt! Glöm inte att skriva Tentamenskod på alla blad du lämnar in.

Konfiguration av LUPP synkronisering

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Grundläggande rou-ngteknik. F5: Kapitel 8-9

Nätverkslagret - Intro

Konfiguration av synkronisering fo r MSB RIB Lupp

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

C64 4G-router 4G-router för VAKA fjärradministration, IP-porttelefoni och internetbokning.

5 Internet, TCP/IP och Applikationer

Grundläggande datavetenskap, 4p

Övningar - Datorkommunikation

Skriftlig tentamen i kursen TDTS04 och TDTS43 Datornät och distribuerade system kl

EITF45 Internet Routing JENS ANDERSSON (WILLIAM TÄRNEBERG)

ETS052 Internet Routing WILLIAM TÄRNEBERG

Förebyggande Råd från Sveriges IT-incidentcentrum

EITF45 Internet Routing JENS ANDERSSON (WILLIAM TÄRNEBERG)

DIG IN TO Administration av nätverk- och serverutrustning

g S tin u g A o ett tin u r R m llan o o e to R ec in m g? ain g S tin m tin ce-v u o u r ro r-d r ro istan ö te ö är ett A d a D - F In - F V

Övning 5 EITF25 & EITF Routing och Networking. October 29, 2016

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

Hur gör man ett trådlöst nätverk säkert?

Övning 5 ETS052 Datorkommuniktion Routing och Networking

Lösningar till tentan i ETS052 Datorkommunikation

DIG IN TO Administration av nätverk- och serverutrustning

HP ProCurve SKA 3.1 Certifiering

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker.

Instuderingsfrågor ETS052 Datorkommuniktion

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

EITF45 Internet Routing JENS ANDERSSON (BILDBIDRAG WILLIAM TÄRNEBERG)

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

DNSSEC och säkerheten på Internet

Felsökning-självhjälp. Punkt 1. Kontrollera bredbandsutrustningen.

Rapport om routinganalys för Post och Telestyrelsen I samband med flytt av knutpunkt från Stockholm-A till Stockholm-C. Bilaga 5

DIG IN TO Nätverksteknologier

ÖVERGÅNG TILL KOMMUNIKATIONSTORGET 2.0

Hjälpprotokoll till IP

5. Internet, TCP/IP tillämpningar och säkerhet

Säkra trådlösa nät - praktiska råd och erfarenheter

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Din guide till en säkrare kommunikation

Datorsystem. Tentamen

IP routinghierarkier. Robert Löfman Institutionen för informationsbehandling Åbo Akademi, FIN Åbo, Finland e post: robert.lofman@abo.nospam.

ETS052 Internet Routing. Jens A Andersson

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Nätverksteknik Mattias Claesson Joakim Juhlin

Interna routingprotokoll i operatörsnät - uppbyggnad och tillämpning

Hur påverkar DNSsec vårt bredband?

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

IT-säkerhet Tek Nat Prefektmöte. IT-chef

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Övning 5 EITF25 & EITF Routing och Networking. December 5, 2017

Lösningar till tentan i ETS052 Datorkommunikation

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

Övning 5 ETS052 Datorkommuniktion Routing och Networking

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Tentamen i ETSF15 Kommunikationssystem och Nätverk

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

Vad är PacketFront. Regional Samtrafik Behövs det? Hur skapar man det? Presentation. Svenskt företag, bildat 2001

Brandväggsarkitekturer

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Varför och hur införa IPv6 och DNSSEC?

Verkligheten bakom gratis ISP DNS

Transkript:

Att Säkra Internet Backbone Håkan Nohre @cisco.com SEC-210 5428_05_2002_c1 2002, Cisco Systems, Inc. All rights reserved. 1

Vad kan attackeras Attackera routrar/switchars förmåga att vidarebefordra data - logiska attacker (mot buggar, protokoll) - paketstormar (mot bandbredd, CPU) Attackera routingen (BGP) slå ut BGP peerer injicera falsk information Attackera DNS slå ut DNS servrar injicera falsk information operatör B operatör E operatör A operatör D operatör E operatör C operatör F Attackera backendsystem billing, kundregister etc. 2

Zombies, DDOS, Belastningsattacker Hacker kontrollerar ett stort antal hackade maskiner (via t.e.x mask, trojan, virus) Kan på given signal generera en paketstorm mot mål (kan vara operatörens kund eller operatörens egen utrustning) I bland spoofas (förfalskas) avsändaradress Kan attackera bandbredd (stora paket) eller CPU (många paket per sekund) Collateral Damage Målet 3

Maskar Maskens primära mål är slutstationer ej nätverket Kan dock generera onormala traffikmängder...med abnorma traffikmönster (oändligt antal destinationsaddresser och mycket korta flöden) Collateral Damage 4

Hur skyddar sig Operatörer? Förberedelser är A&O Processer och Policys Utbildat & Förberett OPSEC (IRT) team Förberedda kontakter med andra ISP:er (konkurrenter) leverantörer viktiga kunder Verktygslåda med tekniska knep 5

Skydda Routing MD5-autensiering (vem talar jag med) Filtrera routing information vilka nät? hur många nät? EBGP ISP B ISP-A ISP C EBGP kund 6

Skydda DNS Mot Falsk Information Säker (patchad server) DNS-sec DNS 10.1.1.105 DNS 10.1.1.105 Mot Belastningsattacker Många DNS servrar Lastbalansering DNS anycast DDOS-tvätt DNS 10.1.1.105 DNS 10.1.1.105 7

Generell Router/Switch Säkerhet Bugfixar, CERT alerts Krypterad management (SSH) Autensierade Routing protokoll Engångslösenord för inloggning... NTP för exakta tidsstämplar i loggar...tillåt endast management från vissa ip adresser... 8

Varning : Säkra Management/kontrollplanet Core-routrar kan switcha flera miljoner paket per sekund genom routern genom optimerad hårdvara men OK Routern kan få problem om den får för många paket till sig själv (CPU, ej hårdvara) 9

Säkra Management/kontrollplanet (2) Begränsa paket till routern, t.e.x bara från 10.1.1.0/24 (vårt managementnät) routing updates från grannar max 10 paket per sekund Control Plane Policing stopp, jag tar inte emot fler än 10 ping per sekund 10

Skydda Core Routrar behöver ej nås från internet filter, routing information privata länk adresser * ISP-B * ping och traceroute kan störas kund 11

Abnorma trafikmönster och cache baserad forwarding Vissa router-arkitekturer byggar på caching. Första paketet till en destination går till CPU CPU uppdaterar hårdvara med routing info Efterföljande paket switchas i hårdvara CPU 1sta paketet till 1.1.1.1 2, 3 paket till 1.1.1.1 hårdvara dest = 1.1.1.1 dest = 1.1.1.1 dest = 1.1.1.1 12

Abnorma trafikmönster och cache baserad forwarding (2) Maskar och vissa DDOS attacker leder till abnorma trafikflöden med oändligt antal destination CPU 1sta paketet till 1.1.1.1 hårdvara dest = 1.1.1.1 dest = 7.5.3.2 dest = 6.4.3.2 13

Abnorma trafikmönster och cache baserad forwarding (2) En robust routers prestanda påverkas inte av antalet flöden/antalet destinations adresser. Punkt. # ip cef 14

Flödesanalys (t.e.x Netflow) Routrar kan exportera flödesstatistik flöde = (src ip, dest ip, src port, dest ip) Flöden kan analyseras för hitta - vilka siter som attackeras - typ av attack, volym, pps... - attack source / ingress punkt ISP-B kund sink-hole 15

Sink-holes Routa all traffik till oallokerade adresser till s.k sink-hole Där kan trafiken analyseras vem attackeras vem attackerar (source ip) varifrån kommer traffiken (vilken ISP ) ISP-B kund sink-hole 16

Anti-spoofing Stoppar Spoofing (falsk avsändaraddress) Enkelt att konfigurera ip verify unicast reverse-path ISP B ISP C ISP-A source= 2.2.2.10 1.1.1.0/24 17

Black-holing Dynamisk omkonfiguration via routing protokoll (BGP) att stoppa all traffik till destination ip (victim) från source ip (zombie)* ISP-B 6.6.6.1 7.7.7.1 kund 1.1.1.0/24 18

Black-holing BGP Update -> trafik till 1.1.1.0 -> drop trafik från 6.6.6.1-> drop trafik från 7.7.7.1-> drop ISP-B 6.6.6.1 7.7.7.1 kund 19

DDOS tvättmaskiner Avleder trafik till attackerad kund via BGP Tvätta trafik, filtrera bort DDOS Legitim trafik skickas vidare Kunden site stannar uppe!! ISP-B kund 20

DDOS tvättmaskiner(2) ISP-B Operatörsplacerad lösning/tjänst -mest kostnadseffektiv -bäst skydd (höga bandbredder) kund 21

Sammanfattning Internet blir robust genom operatörers OPSEC team, deras förberedelser, kontakter, processer, policys (och vissa tekniska knep). Om Internet är viktigt för din organisation, välj en operatör som förstår och satsar på säkerhet 22

SEC-210 5428_05_2002_c1 2002, Cisco Systems, Inc. All rights reserved. 23