Architektura připojení pro kritické sítě a služby

Podobné dokumenty
Architektura připojení pro kritické sítě a služby

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

SÍŤOVÁ INFRASTRUKTURA MONITORING

Technická analýza kyberútoků z března 2013

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Sledování provozu sítě

Bezpečnostní monitoring sítě

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Ověřování vybraných parametrů datových sítí ve vztahu k NGA sítím - připravované metodické postupy ČTÚ

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Sledování výkonu aplikací?

Strategie sdružení CESNET v oblasti bezpečnosti

DoS útoky v síti CESNET2

Detekce volumetrických útoků a jejich mi4gace v ISP

Network Measurements Analysis (Nemea)

Flow Monitoring & NBA. Pavel Minařík

Monitoring sítě a síťová obrana

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

WORKSHOP. Základní principy Metodiky pro měření a vyhodnocení datových parametrů pevných komunikačních sítí. Pavel Zahradník

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Sledování sítě pomocí G3

Koncept centrálního monitoringu a IP správy sítě

Aktivní prvky: brány a směrovače. směrovače

APKT měření NGA sítí a EuroDOCSIS 3.0

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

PB169 Operační systémy a sítě

Podmínky integrace větrné energie do energetiky ČR 4. Vetrna energie v CR 2008

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

GSD, mapování, postup při kontrolách ve spektru Metodika pro měření a vyhodnocení datových parametrů sítí elektronických komunikací

Flow monitoring a NBA

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Aktuální otázky provozu datových skladů PAVEL HNÍK

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Co znamená IPv6 pro podnikovou informatiku.

Optimalizaci aplikací. Ing. Martin Pavlica

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Moderní privátní cloud pro město na platformě OpenStack a Kubernetes

Základy počítačových sítí Model počítačové sítě, protokoly

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Hodnocení založené na důkazech: je možné u ex-ante hodnocení?

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

PB169 Operační systémy a sítě

Zajištění rozvoje komunikační a systémové infrastruktury MPSV_I.

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

RadSec a IPsec. metody zabezpečeného připojení k národnímu RADIUS serveru. Jan Tomášek <jan.tomasek@cesnet.cz> CESNET, z. s. p. o.

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Budování sítě v datových centrech

Seminář o bezpečnosti sítí a služeb

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Psychometrie on-line

Využití moderních přístupů při budování Technologického centra kraje

Řízení toku v přístupových bodech

Firewally a iptables. Přednáška číslo 12

Paralelizace datových přenosů

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Seminář pro správce univerzitních sí4

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Téma bakalářských a diplomových prací 2014/2015 řešených při

Identifikátor materiálu: ICT-3-03

Bude se vylidňovat náš venkov? Co a proč obce potřebují vědět? Tomáš Kučera

Koncept. Centrálního monitoringu a IP správy sítě

FlowGuard 2.0. Whitepaper

Tematická oblast: Informační a komunikační technologie (VY_32_INOVACE_09_3_IT) Autor: Ing. Jaroslav Adamus. Vytvořeno: listopad 2013 až duben 2014

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Retenční kapacita krajiny a možnosti jejího zvyšování

Budování sítě v datových centrech

Ing. Marián Belyuš, ČEPS, a.s.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Základní pojmy technických sítí

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Routování směrovač. směrovač

Služby e-infrastruktury CESNET

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

BEZPEČNOSTNÍ MONITORING SÍTĚ

Technologie počítačových komunikací

Bezpečnost webových stránek

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Trendy při zásobování pitnou vodou

Monitoring provozu poskytovatelů internetu

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Virtualizace síťových prvků

Univerzita Jana Evangelisty Purkyně Automatizace Téma: Datová komunikace. Osnova přednášky

Technická specifikace zařízení

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

ENERGETICKÝ DISPEČINK. základní informace o službě

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Transkript:

Architektura připojení pro kritické sítě a služby Tomáš Košňar CESNET 12. 6. 2018 CSNOG

..k zamyšlení neexistuje univerzální řešení pro všechny případy..k motivaci stabilita a spolehlivost služeb má klíč ve vychytaných a ošetřených detailech znalý a kvalitní personál těžko nahradíme úspěšným tendrem nebo dobrou smlouvou.. ;-).. opakování je matka moudrosti

modelový příklad typické články řetězu na cestě ke službě péče zpravidla soustředěna na vlastní aplikaci výkon front-end, funkce UI, testy výkonu apod. posuzovat komplexně celý síťový set-up k/od služby aby se to pokud možno nikde neucpávalo (nedocházely zdroje)..a když zdroje docházejí, regulujme řízeně strategie ( čeho se budu postupně vzdávat ) rozložme strategicky zátěž pro případ extrémních situacích mezi dílčí prvky +případně posilme příliš slabé (relativně) články řetězu

kapacita, zdroje potřebná vs. dostupná kapacita v jednotlivých částech řetězce v běžném stavu 10% vs 70% pásmo bezpečné regulace flexibilita

kapacita, zdroje bez regulace v extrémním stavu data zahazována nahodile, neřízeně, služba zpravidla nedostupná???

kapacita, zdroje částečná regulace v extrémním stavu realizace na jednom článku ISP zabránil ucpání přípojky, ale z pohledu FW stejný stav jako v předchozím případě??

kapacita, zdroje řízená regulace v extrémním stavu - realizace na řetězu prvků data zahazována podle připravené strategie rozložení zátěže regulace mezi prvky řetězu udržení požadavků pod limity zdrojů

typická slabá místa specializované prvky FW, balancery,.. složitá logika, uchování stavových informací apod. velké nároky na vnitřní zdroje reálná průchodnost závislá na struktuře provozu objem provozu velikost paketů transportní protokoly ~ např. počet TCP sessions aplikační protokoly monitoring pomůže nalézt slabá místa, ověřovat jaký je poměr dostupných a potřebných zdrojů podmínka dobrého nastavení a optimalizace celé soustavy bez komplexních informací s odpovídající vypovídací hodnotou pouze tápeme

odpovídající měření použitelné výsledky monitoringu reálně potřebná přenosová kapacita vliv parametrů měření linkové měření vs. flow-based měření, vliv časového kroku měření 24 hodin po 6 minutách 1 hodina po 1 minutě 1 hodina po 6 minutách

odpovídající měření použitelné výsledky monitoringu typický síťařský limit 50% funguje pro rozsáhlé sítě s vysokou mírou agregace provozu samostatná/izolovaná koncová síť/aplikace v mikro perspektivě potenciálně větší oscilace 2 minuty po 1 vteřině 1 hodina po 1 minutě

odpovídající měření použitelné výsledky monitoringu rychlost přenosu je konstantní měříme objem přenesených dat (počet a velikost paketů) mezi dvěma po sobě jdoucími odečty 0.2/s čas X čas X+30s shluk na trase nevadí ale u obslužného systému může být problém rychlost obsluhy např. 1 za 5s poslední čeká ~20 s na obsloužení

odpovídající měření použitelné výsledky monitoringu monitoring infrastruktury ukázka indikace problému (i bez saturace)???

odpovídající měření použitelné výsledky monitoringu četnost a průměrná délka paketů např. limity FW závislé na délce paketů, transportu (TCP vs. UDP), počtu TCP sessions v případě TCP

odpovídající měření použitelné výsledky monitoringu struktura provozu protokoly, čísla portů, objemy v ustáleném stavu znalost chování služby, komunikace s podpůrnými službami optimalizace nastavení

topologie vliv okolí, sdílení zdrojů služba v koncové síti organizace, všechny instance FW sdílí stejné HW zdroje (pomíjím HA)

topologie zmenšení vlivu okolí a sdílení zdrojů, oddělené linky, FW na oddělených HW zdrojích

topologie zmenšení vlivu okolí a sdílení zdrojů, oddělené hraniční prvky ISP nebo multi-home zvážit pro a proti v případě multi-home

topologie minimalizace vlivu okolí, oddělené zdroje

topologie minimalizace vlivu okolí, samostatná síť pro službu

závislosti na dalších službách vazby na další služby... DNS, IdM, PKI...??

možná opatření..předchozí články řetězu se pokusí zajistit, aby se na vstupu následujících neobjevilo víc požadavků než kolik tam máme zdrojů.. filtrace provozu na cíle/zdroje rate limit policy selektivně/plošně filtrace provozu na cíle/zdroje rate limit policy selektivně filtrace provozu inteligentní vyvážení provozu ke službě on-host FW zahození/označení plošně čištění provozu zahození RTBH

shrnutí řešme vždy komplexně vytvořme si podmínky (viz. architektura sítě + sdílení zdrojů) pro možnost samostatného ošetření jednotlivých služeb (ne vše najednou) ke službě pouštějme pouze provoz, který je jí relevantní regulace provozu strategie co a jak budu postupně zahazovat analýza provozu služby znalost charakteru provozu stanovení priorit provozu + rozložení úkolů mezi články soustavy implementace + ověření funkce (testy) v případě útoků..to už musí být nakonfigurované a odzkoušené!!! věnujeme se tomu, co jsme nedokázali predikovat po skončení útoku vyhodnotíme efektivitu implementované strategie optimalizace/modifikace příprava nového set-upu služby znalost provozu + monitoring stávajícího set-upu redesign architektury+volba vhodných prvků (prognóza zdrojů, které budeme potřebovat na konci plánované životnosti daného celku * bezpečnostní koeficient) implementace provoz + monitoring... spolupráce s ISP začít včas!!!

Děkuji za pozornost...

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář