SÍŤOVÁ INFRASTRUKTURA MONITORING Tomáš Košňar CESNET 29. 1. 2019 Konference e-infrastruktury CESNET
OBSAH Síťová infrastruktura architektura, aktuální stav, vlastnosti, parametry, výhled do budoucnosti Monitoring přehled základních oblastí, výhled do budoucnosti
SÍŤOVÁ INFRASTRUKTURA Charakteristika, požadavky rozsáhlé sítě (/16 v4), unikátní a specifická zařízení, robustní sessions aplikace citlivé na ztrátovost, zpoždění, jitter (obousměrně) velká data - místo vzniku místo uložení místo zpracování místo uložení zpracování Páteřní síť volná kapacita, bezpečný agregační poměr topologie, spolehlivost, stabilita parametrů potřeby uživatelů odvozeny od projektů a ad hoc příležitostí plánování? flexibilita
SÍŤOVÁ INFRASTRUKTURA Budování a správa převážně vlastními silami IP/MPLS vrstva optická přenosová vrstva fyzická vrstva
SÍŤOVÁ INFRASTRUKTURA Fyzická a optická přenosová vrstva fyzická vrstva - optická vlákna ~ 6000 km (1800km) redundantní propojení páteřních uzlů optická přenosová vrstva DWDM 1-100 Gb/s kanály 2 komplementární systémy spojení bod-bod stavební prvek vyšší vrstvy sítě fotonické, lambda služby
SÍŤOVÁ INFRASTRUKTURA IP/MPLS vrstva 100 GE jádro uzly 40-100 GE nebo Nx10 GE redundance připojení uzlů sdílená IP síť (v4, v6 dual stack; u-cast, m-cast) připojení k e-infrastruktuře symetrické, bez regulace, možnost redundance vyhrazené okruhy a sítě pro uživatele - EoMPLS, VPLS
SÍŤOVÁ INFRASTRUKTURA externí propojení 120 100 Gb/s GÉANT 120 Gb/s NIX.CZ * 20 Gb/s ACONET (VIX) 20 Gb/s SANET (SIX) 20 Gb/s AMS-IX * 20 Gb/s Google * 10+10 Gb/s Tier-1 10 Gb/s PIONIER E2E Nx10 (GÉANT, LHCONE) Nx10 CBF 10 20 20 100 10+10 20 20
SÍŤOVÁ INFRASTRUKTURA Základní provozní a bezpečnostní nastavení kontrola zdrojových IP adres na vstupu do páteře (RPF check, filtry, BCP-38) automatická rate-limit policy na perimetru sítě (amplifikační DDoS útoky) RTBH jako služba pro uživatele (BGP připojené sítě) semi-automatická obrana proti dalším typickým útokům (aut. detekce analýza opatření) RPKI (Resource Public Key Infrastructure) - podepisování záznamů spojených s oznamováním BGP cest komplexní monitoring, 24x365 dohled + pohotovost síťových specialistů CSIRT (CESNET-CERTS), FLAB CESNET - zakládající člen FENIX @ NIX.CZ
SÍŤOVÁ INFRASTRUKTURA Budoucnost, plány? nová generace sítě příprava projektu 400 Gb/s páteř, 100 Gb/s přípojná kapacita vyšší flexibilita rychlých portů na hraně sítě optimální provázání s ostatními komponentami e-infrastruktury optimální připojení významných uživatelských datových zdojů, Science DMZ diskuze s uživatelskými skupinami významné zdroje dat kapacita, architektura a cyklus zpracování dat + automatizace v oblasti obrany e-infrastruktury
MONITORING Očekávání? komplexní celá hierarchie provozní, analytický, statistický, bezpečnostní,... infrastruktura, provoz infrastruktura pod kontrolou
MONITORING Monitoring infrastruktury provozní, dohledový - icinga/nagios ( standardní síťařské sondy - CPU, paměť, síťová rozhraní, BGP,...) analytický - G3 periodický plošný sběr dat z prvků infrastruktury UI, reporty, vizualizace anomálií
MONITORING Monitoring provozu infrastruktura měřících bodů (externí perimetr) - bezpečnostní, analytický monitoring (HW akcelerované sondy) analýza provozu na plné rychlosti export obohacených NetFlow dat (některé aplikační protokoly), distribuovaný kolektor detekce bezpečnostních incidentů v NEMEA, reporting událostí do WARDEN ad-hoc vytvářené analytické a detekční nástroje
MONITORING Monitoring provozu FTAS - plošný, statistický, analytický, bezpečnostní monitoring sběr, zpracování, uchování, vizualizace NetFlow, sflow dat UI, reporty, detekce událostí + notifikace, WARDEN reporting data z páteře, data od uživatelů samostatné instalace v sítích uživatelů organizace, síťové celky, projekty
MONITORING Přehled - HW akcelerované sondy - plošný monitoring IP provozu na bázi toků (zdroje provozních informací) - Honey Pots - IDS a IPS systémy apod. - monitoring infrastruktury (SNMP apod.)
MONITORING Budoucnost, plány? infrastruktura adaptace na novou generaci síťové části e-infrastruktury telemetrie, RFC vs. vendor, apod. provoz + automatizace v oblasti obrany e-infrastruktury detekční nástroje řízení směrování (BGP FlowSpec) specifičtější monitoring klíčových částí e-infrastruktury blíže ke koncovým uživatelům - velké problémy v globální síti začínají zanedbatelnými problémy v koncových sítích...
DĚKUJI ZA POZORNOST