SÍŤOVÁ INFRASTRUKTURAMONITORING

Tomáš KošňarCESNET

29. 1. 2019Konference e-infrastruktury CESNET

OBSAH

Síťová infrastruktura

architektura, aktuální stav, vlastnosti, parametry, výhled do budoucnosti

Monitoring

přehled základních oblastí, výhled do budoucnosti

SÍŤOVÁ INFRASTRUKTURA

Charakteristika, požadavky

rozsáhlé sítě (/16 v4), unikátní a specifická zařízení, robustní “sessions“

aplikace citlivé na ztrátovost, zpoždění, jitter (obousměrně)

„velká data“ - místo vzniku místo uložení místo zpracování místo → → →uložení zpracování …→ →

Páteřní síť

→ volná kapacita, „bezpečný agregační poměr“

→ topologie, spolehlivost, stabilita parametrů

potřeby uživatelů odvozeny od projektů a ad hoc příležitostí plánování ?→

→ flexibilita

SÍŤOVÁ INFRASTRUKTURA

Budování a správa převážně vlastními silami

IP/MPLS vrstva

optická přenosová vrstva

fyzická vrstva

SÍŤOVÁ INFRASTRUKTURA

Fyzická a optická přenosová vrstva

fyzická vrstva - optická vlákna

~ 6000 km (1800km)

redundantní propojení páteřních uzlů

optická přenosová vrstva

DWDM

1-100 Gb/s kanály

2 komplementární systémy

spojení bod-bod

stavební prvek vyšší vrstvy sítě

fotonické, „lambda“ služby

SÍŤOVÁ INFRASTRUKTURA

IP/MPLS vrstva

100 GE jádro

uzly 40-100 GE nebo Nx10 GE

redundance připojení uzlů

sdílená IP síť (v4, v6 dual stack; u-cast, m-cast)

připojení k e-infrastruktuře - symetrické, bez regulace, možnost redundance

vyhrazené okruhy a sítě pro uživatele - EoMPLS, VPLS

SÍŤOVÁ INFRASTRUKTURA

externí propojení

100 Gb/s GÉANT

120 Gb/s NIX.CZ *

20 Gb/s ACONET (VIX)

20 Gb/s SANET (SIX)

20 Gb/s AMS-IX *

20 Gb/s Google *

10+10 Gb/s Tier-1

10 Gb/s PIONIER

E2E

Nx10 (GÉANT, LHCONE)

Nx10 CBF

100

20

10+10

120

20

20

1020

SÍŤOVÁ INFRASTRUKTURA

Základní provozní a bezpečnostní nastavení

kontrola zdrojových IP adres na vstupu do páteře (RPF check, filtry, BCP-38)

automatická “rate-limit policy“ na perimetru sítě (amplifikační DDoS útoky)

RTBH jako služba pro uživatele (BGP připojené sítě)

semi-automatická obrana proti dalším typickým útokům (aut. detekce →analýza opatření)→

RPKI (Resource Public Key Infrastructure) - podepisování záznamů spojených s oznamováním BGP cest

komplexní monitoring, 24x365 dohled + pohotovost síťových specialistů

CSIRT (CESNET-CERTS), FLAB

CESNET - zakládající člen FENIX @ NIX.CZ

SÍŤOVÁ INFRASTRUKTURA

Budoucnost, plány ?

nová generace sítě – příprava projektu

400 Gb/s páteř, 100 Gb/s přípojná kapacita→

vyšší flexibilita rychlých portů na hraně sítě

optimální provázání s ostatními komponentami e-infrastruktury

optimální připojení významných uživatelských datových zdojů, Science DMZ

diskuze s uživatelskými skupinami

významné zdroje dat kapacita, architektura a cyklus zpracování dat→

+ automatizace v oblasti obrany e-infrastruktury

MONITORING

Očekávání ?

komplexní

celá hierarchie

provozní, analytický, statistický, bezpečnostní, ...

infrastruktura, provoz

→ infrastruktura pod kontrolou

MONITORING

Monitoring infrastruktury

provozní, dohledový - icinga/nagios (“standardní síťařské sondy“ - CPU, paměť, síťová rozhraní, BGP,...)

analytický - G3

periodický plošný sběr dat z prvků infrastruktury

UI, reporty, vizualizace anomálií

MONITORING

Monitoring provozu

infrastruktura měřících bodů (externí perimetr) - bezpečnostní, analytický monitoring (HW akcelerované sondy)

analýza provozu na plné rychlosti export obohacených NetFlow dat (některé aplikační protokoly), distribuovaný kolektor detekce bezpečnostních incidentů v NEMEA, reporting událostí do WARDEN ad-hoc vytvářené analytické a detekční nástroje

MONITORING

Monitoring provozu

FTAS - plošný, statistický, analytický, bezpečnostní monitoring

sběr, zpracování, uchování, vizualizace NetFlow, sFlow dat

UI, reporty, detekce událostí + notifikace, WARDEN reporting

data z páteře, data od uživatelů

samostatné instalace v sítích uživatelů

organizace, síťové celky, projekty

MONITORING

- HW akcelerované sondy

- Honey Pots

- IDS a IPS systémy apod.

- monitoring infrastruktury (SNMP apod.)

Přehled

- plošný monitoring IP provozu na bázi toků (zdroje provozních informací)

MONITORING

Budoucnost, plány ?

infrastruktura

adaptace na novou generaci síťové části e-infrastruktury

telemetrie, RFC vs. vendor, apod.

provoz

+ automatizace v oblasti obrany e-infrastruktury

detekční nástroje řízení směrování (BGP FlowSpec)→

specifičtější monitoring klíčových částí e-infrastruktury

„blíže ke koncovým uživatelům“ - velké problémy v globální síti začínají „zanedbatelnými“ problémy v koncových sítích...

DĚKUJI ZA POZORNOST