WUnet Alfred Nagl Struktur, Redundanz Dienste, Komponenten Sicherheit, Integrit¨ at Kontrolle, Bedrohungen Projekte, Zukunft Nutzungszahlen Neubauplanung Zusammenfassung Das Netzwerk der WU Struktur, Komponenten und Dienste Alfred Nagl [email protected]IT Services Wirtschaftsuniversit¨ at Wien 2012-12-14
49
Embed
Das Netzwerk der WU Struktur, Komponenten und Dienstemitloehner.com/lehre/linux/linux_lv_beamer_nagl_Dez_2012.pdf · Logische Struktur des WUnet Sicherheit, Integrit at Kontrolle,
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Das Netzwerk der WUStruktur, Komponenten und Dienste
Core Router, UZA1 und UZA42x6509, VSS, verbunden 2x10Gbit, PortchannelsVlan Interfaces, etwa 60, abnehmendtypischerweise Default Gateway in einem Servernetz(oder in einem noch nicht umgestellten Client-Netz)*Strukturierung* des Netzes (Departments bzw Institute)
Intermediate Switches, sw-a, sw-b2x6506, VSS, UZA1, verbunden mit 2x10GB2x6506, VSS, UZA4, verbunden mit 2x10GBUplinks 2x10 Gbit, Portchannel
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Komponenten nach HW undSW
Border Router
Außere Firewall - Barracuda(Phion)
IDS/IPS Juniper
VPN Server
Core Router undIntermediate Switches
WISM
ASA
End-User Switches,MR-Switches, SR-Switches
Nameserver undDHCP-Server
Telefonie
Logische Struktur desWUnet
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
WISM
WISM - Wireless Services ModuleEinschub in 650x, verwaltet die Access-PointsWCS - verwaltet Konfiguration und Clients,inzwischen abgelost durch NCS
Cisco Prime Infrastructure
Wireless User kommt ins gleiche Vlan wie Wired User
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Komponenten nach HW undSW
Border Router
Außere Firewall - Barracuda(Phion)
IDS/IPS Juniper
VPN Server
Core Router undIntermediate Switches
WISM
ASA
End-User Switches,MR-Switches, SR-Switches
Nameserver undDHCP-Server
Telefonie
Logische Struktur desWUnet
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
ASA
ASA - eigenstandige Box, via 2x10Gb an 650xFailover zwischen 2 BoxenVlan Interfaces, etwa 60, zunehmendtypischerweise Default Gateway in einem Client Netz
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Komponenten nach HW undSW
Border Router
Außere Firewall - Barracuda(Phion)
IDS/IPS Juniper
VPN Server
Core Router undIntermediate Switches
WISM
ASA
End-User Switches,MR-Switches, SR-Switches
Nameserver undDHCP-Server
Telefonie
Logische Struktur desWUnet
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
End-User Switches, MR-Switches, SR-Switches
4506, ein SupervisorEinschube zu 48 Ports - maximal 240 Ports,zu 100 Mbit, teilweise PoE(Gigabit abhangig von Verkabelung)Uplinks 2x1GB, Portchannel
494848 Portsfur mehrere RacksUplinks 2x1GB, Portchannels
Logische Struktur des WUnetVlans - ASA - Telefonie
VLAN = Abteilung bzw. Institutflaches Netz - Layer 2 - jede Dose in beliebiges VLANVorteil: unabhangig von RaumvergabeNachteil: Layer 2 uber das ganze Netz
Exkurs: TrunkingDot1Q (cisco ISL)Data und Voice Vlan
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Gerat kommt ans WUnet -Kabel bzw. Wireless
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Sicherheit
Layer-3 Partitionierung durch ASAFirewall Ruleseinige Server-Netzeunterschiedliche Client-Netzetypischerweise Institut/Department, meist 137.208.x.0/24IPv6 ebenso wie IPv4 (Dual Stack)2001:628:404::x/64
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Gerat kommt ans WUnet -Kabel bzw. Wireless
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Gerat kommt ans WUnet im InstitutsbereichDHCP - DNS Eintrag etc.
DHCP discover / offerDHCP request / ackDNS Eintrag, nach 1 Stunde fur 25 Stundenalle 25 Stunden wiederholt, im Wireless ofterSSID wu (vormals wu-dot1x), Authentication via RadiusSSID wu-conference, Authentication via BluesocketVPN in Selbststudienzone / Horsaal, Authentication viaBluesocket
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Phishing
DNS Spoofing
Kontakt
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Kontrolle und Werkzeuge dazu
internet traffic monitoring (MRTG)intermediate trunks (MRTG)icinga (Status der Komponenten)nmis (einzelne Ports)netdisco (Mac Adressen etc.)IP flows (nfsen, iflow)
We have to learn to manage information and its flow.If we don’t, it will all end up in turbulence.
–Grace Hopper
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Phishing
DNS Spoofing
Kontakt
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Bedrohungsszenarien
PhishingDNS spoofing
BotnetzTeilnehmerDOS (IRC)SSH Brute Force
Viren, AdWare, PHPbbSpyWare (auffinden durch Spybot Search and Destroy)SpamBots (SMTP outgoing, jetzt gesperrt)
There are a lot of dumb people with powerful tools.
- Jonah Seiger, former EFF Program Coordinator, 1994
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Phishing
DNS Spoofing
Kontakt
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Phishing
To all email users,Microsoft launched a new email service for our webmail –not a redesigned version of Hotmail, but a completelynew, built-from-the-ground-up service ... will be activatedimmediately you complete the Questionnaire informationfrom Message Center by clicking on the link below:
https://docs.google.com/spreadsheet/ ...
Thank you.Help Desk(@)2012.All Rights Reserved
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Phishing
DNS Spoofing
Kontakt
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
DNS Spoofing
Kaminsky - 2008, Augustprinzipielles Problem (Ports)prinzipielle Losung - DNSSECsignierte Antwort vom Nameserver,durch die ganze rekursive Kette durchZwischenlosung mit DLV(DNSSEC Look-aside Validation)
ip address verifyingAuthentisierung am Kabelflows / graphische Darstellung
The reasonable man adapts himself to the world; the unreasonableone persists in trying to adapt the world to himself. Therefore allprogress depends on the unreasonable man.
– George Bernard Shaw
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Umzug
ip address verifying
Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Umzug
Mitte Marz erste InstallationLayer 2 Verbindung WU alt - WU neuRedundanz des Layer 2 ab MaiUbersiedlung unter Ausnutzung der Redundanz imbestehenden Netz
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Umzug
ip address verifying
Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
ip address verifying
*stabile* identitat*man in the middle* zuverlassing verhindern(und einiges sonst noch)
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Umzug
ip address verifying
Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Zukunft
wieviel Uberwachung ist notwendig?was ist zuviel Uberwachung ?Wireless - eine Erfolgsgeschichtemobile Phone - hat jeder
Networking is the Vietnam of computing. Something can nuke you
from behind, and it’s gone when you turn around. It’s impossible to
win a guerilla war against a highly distributed enemy. - Mike Smith.
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Nutzungszahlen 2010 WS
6342 unterschiedliche Wireless User im November8267 unterschiedliche Wireless Clients im November5189 unterschiedliche Wireless User im Dezember6654 unterschiedliche Wireless Clients im Dezemberuber 1000 Clients gleichzeitig3992 unterschiedliche Clients am 11. Janner(Kabel und Wireless)davon 438 mit *iphone* im Namen, 66 mit *android*davon 2183 Studenten im Wirelessdavon 276 mit *iphone* im Namen, 39 mit *android*
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Nutzungszahlen 2011 SS
6437 unterschiedliche Wireless User im April/Mai8664 unterschiedliche Wireless Clients im April/Maiuber 1000 Clients gleichzeitig4118 unterschiedliche Clients am 2011-05-10(Kabel und Wireless)davon 440 mit *iphone* im Namen, 109 mit *android*davon 2281 Studenten im Wirelessdavon 297 mit *iphone* im Namen, 70 mit *android*
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Nutzungszahlen 2011 WS
8195 unterschiedliche Wireless User 2011-10/1111939 unterschiedliche Wireless Clients 2011-10/11uber 1296 Clients gleichzeitig5434 unterschiedliche Clients am 2011-11-15(Kabel und Wireless)davon 472 mit *iphone*, 187 mit *android*, 62 mit*ipad*, 46 mit *ipod*, 10 mit *pad*, 43 mit*blackberry* im Namendavon 3140 Studenten im Wirelessdavon 282 mit *iphone*, 107 mit *android*, 48 mit*ipad*, 17 mit *ipod*, 6 mit *pad*, 12 mit *blackberry*im Namen
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Nutzungszahlen 2012 SS
7211 unterschiedliche Wireless User 2012-05/0610423 unterschiedliche Wireless Clients 2012-05/06uber 1434 Clients gleichzeitig5287 unterschiedliche Clients am 2012-05-15(Kabel und Wireless)davon 383 mit *iphone*, 221 mit *android*, 65 mit*ipad*, 24 mit *ipod*, 12 mit *pad*, 28 mit*blackberry* im Namendavon 2946 Studenten im Wirelessdavon 292 mit *iphone*, 176 mit *android*, 54 mit*ipad*, 19 mit *ipod*, 9 mit *pad*, 11 mit *blackberry*im Namen
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Nutzungszahlen 2012 WS
7136 unterschiedliche Wireless User 2012-10/1110776 unterschiedliche Wireless Clients 2012-10/11uber 1800 Clients gleichzeitig5451 unterschiedliche Clients am 2012-11-20(Kabel und Wireless)davon 432 mit *iphone*, 333 mit *android*, 124 mit*ipad*, 19 mit *ipod*, 131 mit *pad*, 28 mit*blackberry* im Namendavon 3461 Studenten im Wirelessdavon 361 mit *iphone*, 270 mit *android*, 115 mit*ipad*, 12 mit *ipod*, 120 mit *pad*, 13 mit*blackberry* im Namen
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Neubauplanung
11.200 Anschlusse, 6.300 aktiv
28 Etagenverteiler, 9 Slots zu 48x Gigabit, PoEUpstream 2x10Gbit zu zwei unterschiedlichen HVcatalyst 4510R+E, sup7
3x2 Hausverteiler, x10Gbit zu Etagenverteilern
Upstream 10Gbit (40Gbit?) zu beiden ZV2xcatalyst 4500-X, VSS
2 Zentralverteiler2x catalyst 650x + sup2t, VSS
5 Datacenter, verschiedene Funktionenangebunden an beide ZVnexus 5596 bzw. 5010 mit nexus 2000
600 Accesspoints
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Hardwarebeispiele(1a) Cat4510, SUP 7
Cisco IOS-XE software, Copyright (c) 2005-2010 by ciscoSystems, Inc. All rights reserved. Certain components ofCisco IOS-XE software are licensed under the GNUGeneral Public License (”GPL”) Version 2.0. The softwarecode licensed under GPL Version 2.0 is free software thatcomes with ABSOLUTELY NO WARRANTY. You canredistribute and/or modify such GPL code under theterms of GPL Version 2.0. For more details, see thedocumentation or License Noticefile accompanying theIOS-XE software, or the applicable URL provided on theflyer accompanying the IOS-XE software.
Cisco Nexus Operating System (NX-OS) Software TACsupport: http://www.cisco.com/tac Copyright (c)2002-2010, Cisco Systems, Inc. All rights reserved. Thecopyrights to certain works contained herein are owned byother third parties and are used and distributed underlicense. Some parts of this software are covered under theGNU Public License. A copy of the license is available athttp://www.gnu.org/licenses/gpl.html.
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Hardwarebeispiele(2b) Nexus 5000
PID State PC Start TTY Process1 S b7f9e468 1 - init2 S 0 1 - ksoftirqd10 S 0 1 - kthread18 S 0 1 - kacpid2646 S b7f8718e 1 - portmap2655 S 0 1 - nfsd2669 S b7f89468 1 - rpc.mountd2675 S b7f89468 1 - rpc.statd3513 S 0 1 - insmod3911 S b7f4b468 1 - xinetd3912 S b7f89468 1 - tftpd3964 S b7f89468 1 - cisco4242 S b7f976be 1 - klogd4264 S b7dd1468 1 - httpd4415 S b7f946be 1 S0 getty
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Hardwarebeispiele(3a) cisco ASR1002
Cisco IOS-XE software, Copyright (c) 2005-2011 by ciscoSystems, Inc. All rights reserved. Certain components ofCisco IOS-XE software are licensed under the GNUGeneral Public License (”GPL”) Version 2.0. The softwarecode licensed under GPL Version 2.0 is free software thatcomes with ABSOLUTELY NO WARRANTY. You canredistribute and/or modify such GPL code under theterms of GPL Version 2.0. For more details, see thedocumentation or License Noticefile accompanying theIOS-XE software, or the applicable URL provided on theflyer accompanying the IOS-XE software.
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Hardwarebeispiele(3b) cisco ASR1002
cisco ASR1002 (2RU) processor with 1700144K/6147Kbytes of memory.4 Gigabit Ethernet interfaces3 Ten Gigabit Ethernet interfaces32768K bytes of non-volatile configuration memory.4194304K bytes of physical memory.7798783K bytes of eUSB flash at bootflash:.
WUnet
Alfred Nagl
Struktur, Redundanz
Dienste, Komponenten
Sicherheit, Integritat
Kontrolle, Bedrohungen
Projekte, Zukunft
Nutzungszahlen
Neubauplanung
Zusammenfassung
Zusammenfassung
1 Struktur, Redundanz
2 Dienste, Komponenten
3 Sicherheit, Integritat
4 Kontrolle, Bedrohungen
5 Projekte, Zukunft
6 Nutzungszahlen
7 Neubauplanung
8 Zusammenfassung
90% of networking is politics.
- Vernon Schryver
WUnet
Alfred Nagl
Fragen, Diskussion
Fragen, Diskussion
Knowledge itself is power.
- Francis Bacon (1561-1626)
WUnet
Alfred Nagl
Fragen, Diskussion
ns1
show ip route 137.208.10.10Routing entry for 137.208.10.10/32Known via ospf 1776, distance 110, metric 3, type intraareaLast update from 137.208.10.151 on Vlan10, 2w6d agoRouting Descriptor Blocks:137.208.20.152, from 137.208.20.152, 2w6d ago, viaVlan20Route metric is 3, traffic share count is 1* 137.208.10.151, from 137.208.10.151, 2w6d ago, viaVlan10Route metric is 3, traffic share count is 1
WUnet
Alfred Nagl
Fragen, Diskussion
ns2
show ip route 137.208.20.10Routing entry for 137.208.20.10/32Known via ospf 1776, distance 110, metric 3, type intraareaLast update from 137.208.10.151 on Vlan10, 2w6d agoRouting Descriptor Blocks:* 137.208.20.152, from 137.208.20.152, 2w6d ago, viaVlan20Route metric is 3, traffic share count is 1137.208.10.151, from 137.208.10.151, 2w6d ago, viaVlan10Route metric is 3, traffic share count is 1
WUnet
Alfred Nagl
Fragen, Diskussion
ns5
show ip route 137.208.10.20Routing entry for 137.208.10.20/32Known via ospf 1776, distance 110, metric 3, type intraareaLast update from 137.208.10.155 on Vlan10, 2w6d agoRouting Descriptor Blocks:137.208.20.156, from 137.208.20.156, 2w6d ago, viaVlan20Route metric is 3, traffic share count is 1* 137.208.10.155, from 137.208.10.155, 2w6d ago, viaVlan10Route metric is 3, traffic share count is 1
WUnet
Alfred Nagl
Fragen, Diskussion
ns6
show ip route 137.208.20.30Routing entry for 137.208.20.30/32Known via ospf 1776, distance 110, metric 3, type intraareaLast update from 137.208.10.155 on Vlan10, 2w6d agoRouting Descriptor Blocks:137.208.20.156, from 137.208.20.156, 2w6d ago, viaVlan20Route metric is 3, traffic share count is 1* 137.208.10.155, from 137.208.10.155, 2w6d ago, viaVlan10Route metric is 3, traffic share count is 1