Ongelmallinen Ethernet



Samankaltaiset tiedostot
Kuva 1. Satunnaisesti valitun kytkimen ominaisuuksia.

Sisältö. Linkkikerros ja sen laitteet Linkkikerroksen osoitteet (MAC-osoite) ARP (eli IP-MAC-mäppäys) ja kytkintaulu

Yhdysliikennejärjestelyt suomessa sekä tekniikan kuvaus

Linkkikerros, osa 2: layer-2 verkot

Ethernet-siirtotekniikoiden vertailu

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

HP Networking. Martti Saramies, HP Networking, myynti

Eetteriverkon rakenne

CSMA/CD. Eetteriverkon rakenne. Signaalin koodaus. Törmäyksen jälkeinen uudelleenlähetys. Lyhyet etäisyydet, pieni määrä laitteita. Manchester-koodaus

Linkkikerros 1: perusteet

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Eetteriverkon rakenne

Kymenlaakson Ammattikorkeakoulu Elektroniikan koulutusohjelma / tietoliikennetekniikka Opinnäytetyö 2011 Tuomo Korja

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

LÄHIVERKON UUDISTUKSEN SUUNNITTELU

TVP 2003 kevätkurssi. Kertaus Otto Alhava

Chapter 5 Link Layer and LANs

Kuva maailmasta Pakettiverkot (Luento 1)

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Mac OS X

5.5 Ethernet-lähiverkko. Eetteriverkon rakenne. Kaapelit. Törmäyksen jälkeinen uudelleenlähetys. Signaalin koodaus Manchester-koodaus CSMA/CD

Liikkuvuuden mahdollistaminen ja tietoturvan parantaminen Aalto yliopiston langallisessa verkossa

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

OSI malli. S Tietoliikenneverkot S Luento 2: L1, L2 ja L3 toiminteet

The administrative process of a cluster. Santtu Rantanen Valvoja: Prof. Jorma Jormakka

Jos A:lla ei ole tietoa ARP-taulussaan, niin A lähettää ARP-kysely yleislähetyksenä

Luennon aiheet. S Tietoliikenneverkot. Mihin IP-kytkentää tarvitaan? Miltä verkko näyttää? Vuon määrittely. Vuon määrittely

Kotitalouksien kiinteät internet - liittymät. Tero Karttunen Oy Mikrolog Ltd

Liikkuvuudenhallinta Mobile IP versio 6 - protokollalla

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Mac OS X

Tommi Nordlund TILAPÄISEN VERKON TOTEUTTAMINEN YLLÄPITO JA DOKUMENTOINTI

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

itää saada selville P-osoitetta vastaava erkko-osoite. leislähetyksenä ysely: Kenen IPsoite. IP-paketissa on vain vastaanottajan

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows XP

TeleWell TW-EA716. ADSL modeemi Palomuuri 4 porttinen 10/100 Mbps kytkin. Pikaohje. Copyright Easytel Oy Finland

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

ITKP104 Tietoverkot - Teoria 3

LÄHIVERKON AKTIIVILAITTEIDEN TIETOTURVA

Taloyhtiön laajakaistan käyttöohje, Tekniikka: Ethernet. Käyttöjärjestelmä: Windows Vista

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Vain testaamalla voit voittaa! Markku Selin Kehitysjohtaja

MAC-protokolla. » 7 tavua tahdistusta varten» kehyksen alku

Turvallinen etäkäyttö Aaltoyliopistossa

Väylää kuunneltava. kehyksen pituus. Ethernetin hyvät puolet. MAC-protokolla

Langattomien verkkojen tietosuojapalvelut

TLT-2600 Verkkotekniikan jatkokurssi Multicast

Taitaja 2015 Windows finaalitehtävä

QoS Laboratorioharjoitus 4

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

TIETOLIIKENNEVERKON VIKASIETOISUUS

Internetin rakenteet sodassa - aseena ja uhrina samanaikaisesti. Jorma Mellin PJ, FICIX ry

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Aalto-yliopiston verkkopalveluiden arkkitehtuuri

Aaron-Mikko Niiranen. Rinnekoti-Säätiön lähiverkon uudistaminen

Operaattorilaajakaistapalvelun toimitus, siirto tai nopeudenmuutos etähallinnalla 20. Vyöhyke 0A (Pääkaupunkiseutu)

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Teknisiä käsitteitä, lyhenteitä ja määritelmiä

PHPOY ALUEVERKON ETHERNET PALVELUKUVAUS

Protokollien yleiset toiminnot

Tietoliikenteen perusteet. Linkkikerros

Mikä on internet, miten se toimii? Mauri Heinonen

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows XP

Introduction to exterior routing

Spanning Tree Protokolla ja verkon vikasietoisuus. Jarno Nauska

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka. Antti Parkkinen. ICTLAB tuotantoverkon IPv6 toteutus

IKAALISTEN-PARKANON PUHELIN OSAKEYHTIÖ. OPERAATTORI xdsl -HINNASTO JA TUOTEKUVAUS

Anvia Telecom Oy. Alueverkon Ethernet Palvelukuvaus

S Tietoliikenneverkot

Foscam kameran asennus ilman kytkintä/reititintä

Internet ja tietoverkot. 5 Siirtoyhteyskerros ja paikallisverkot. Oulun yliopisto Tietojenkäsittelytieteiden laitos Periodi / 2015

Reititys. Tämä ja OSI 7LHWROLLNHQQHWHNQLLNDQSHUXVWHHW $(/&7 0DUNXV3HXKNXUL. Yhteyden jakaminen Reititys Kytkentä Internet-protokolla TCP, UDP

Pienyrityksen IPv4-verkon suunnittelu ja dokumentointi. Pasi Huuhka

Tietoliikenne II (2 ov)

Yleinen ohjeistus Linux-tehtävään

3/3/15. Verkkokerros 2: Reititys CSE-C2400 Tietokoneverkot Kirjasta , Verkkokerros. Internet-protokollapino ja verkkokerroksen tehtävä

» multiaccess channel» random access channel LAN (Ethernet) langaton. ongelma: käyttövuoron jakelu Yhteiskäyttöisen kanavan käyttö

DI-624+ AirPlus G+ 2.4GHz langaton

Anvia Oyj. Alueverkon Ethernet Palvelukuvaus. Voimassa alkaen toistaiseksi

Taloyhtiön laajakaistan käyttöohje, Tekniikka: HomePNA. Käyttöjärjestelmä: Windows Vista

Opinnäytetyön loppuseminaari

Introduction to exterior routing

Yrityksen verkon suunnittelu

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoliikenne II (2 ov)

Laitilan Puhelin Osk:n Ethernet xdsl-operaattorituote Palvelukuvaus

Neljännen sukupolven mobiiliverkon tietoturvakartoitus Operaattorin näkökulma

TW- EAV510 ketjutustoiminto (WDS): Kaksi TW- EAV510 laitetta

DNA Welho / Hki

Demo 2: Virtuaalilähiverkot

Directory Information Tree

Moderni kytkinperhe. Liitännät sarjaliikenteelle. Vahva tietoturvaratkaisu. isim hallintatyökalu.

Operaattorilaajakaistapalvelun toimitus, siirto tai nopeudenmuutos etähallinnalla 20. Vyöhyke 0A (Pääkaupunkiseutu)

Operaattorilaajakaista

Operaattorilaajakaistapalvelun toimitus, siirto tai nopeudenmuutos etähallinnalla 20

ELEC-C7241 Tietokoneverkot Linkkikerros

Demo 1: Ciscon BR-350 WLAN-silta

Tilastokeskuksen tietoliikenneverkon kehittäminen

Tietoturvan nykytila tietoturvaloukkausten näkökulmasta. Jussi Eronen Erityisasiantuntija CERT-FI

5.5 Ethernet-lähiverkko

Linkkikerros 1: perusteet

Transkriptio:

Ongelmallinen Ethernet Kari Seppänen Kari.Seppanen@vtt.fi

Johdanto Sisältö Mikä Ethernet oikeastaan on? Toimisto-Ethernet Skaalautuvuus, vikasietoisuus ja tietoturva Spanning tree protocol -parannukset Hierarkkiaparannukset Käytännön ongelmia Tietoturvauhkat Suositukset Yhteenveto

Johdanto Ethernet:iä pidetään halpana tulevaisuuden siirtoverkkotekniikkana Sen oletetaan olevan luotettavaa, koeteltua ja helppokäyttöistä Ethernet-termi kätkee taakseen monta erilaista järjestelmää reitittimien ja MPLS-kytkimien välitset linkit Ethernet-palvelut, kuten E-Line ja E-LAN käyttäen esim. EoS tai EoMPLS -ratkaisuja Ethernet-pohjaiset siirtoverkot keskitymme näistä viimeiseen

Mikä Ethernet oikeastaan on? Kytkentäistä Ethernettiä pidetään usein lähes verkkokerroksen tekniikkana Ethernet on kuitenkin linkkikerroksen tekniikka ja Ethernet-kytkimet eivät ole perinteisessä mielessä kytkimiä jaettu siirtotie edelleen taustalla monet apuprotokollat olettavat broadcast palvelun Ethernet-kytkin moniporttinen silta tai joukko siltoja, joita yhdistää nopea sisäinen kaapeli Vaarallinen virhekäsitys: Ethernet voi korvata ATM:n tai MPLS:n suoraan

Tarjoaa broadcast palvelun Toimisto-Ethernet Siltojen (kytkimien) avulla verkko voidaan jakaa useaan törmäysalueeseen (collision domain) Ei-hierarkkinen osoitteistus sillan on opittava millä puolella kukin osoite on Verkossa ei saa olla silmukoita MAC-oppiminen muuten mahdotonta silmukkaan jääneiden pakettien tunnistaminen mahdotonta Spanning tree protocol (STP) huolehtii silmukoiden estämisestä Virtuaaliset LAN:t (VLAN) mahdollistavat liikenteen erottelun verkkosegmentin sisällä

Skaalautuvuus, vikasietoisuus ja tietoturva MAC-oppiminen: yhdessä verkkosegmentissä jokaisen sillan (kytkimen) on opittava kaikkien kohdekoneiden Ethernet MAC osoitteet STP toimii varman päälle: toipumisaika pahimmillaan muutamia minuutteja Yksi vika vaikuttaa koko verkkosegmenttiin Vika kytkimien välisissä linkeissä vaatii opittujen MAC-osoitteiden unohtamisen Vikatilanteissa voi syntyä lyhytaikaisia silmukoita broadcast strom Verkon vapaata kapasiteettia ei hyödynnetä; juurisillan linkit pullon kauloina Etähallinta perustuu ylemmän kerroksen protokolliin VLAN ei takaa tietoturvaa: se on vain yksi suodatussääntö verkon toiminnan tehostamiseksi

Spanning tree protocol -parannukset Rapid STP (RSTP): jokainen silta voi käsitellä topologiamuutoksia normaaleista linkkivioista toipuminen yleensä < 1s kuollut juurisilta -tilanne; toipuminen pahimmillaan luokkaa 10s nykyään osa päästandardia; ei kuitenkaan taaksepäin yhteensopiva Multiple STP (MSTP): verkossa voi olla 64 ST:a vikojen vaikutukset rajoitetumpia verkon kapasiteetin parempi hyödyntäminen Ethernet renkaat Ethernet Automatic Protection Switching (EAPS), RRSTP reduntantit kytkennät aliverkkoihin ongelmallisia

Hiearkkiaparannukset yms. Provider bridges (PB) perustuen VLAN stacking:in (Q-in-Q) MAC-oppiminen edelleen ongelmana Provider backbone bridges (PBB), MAC-in-MAC Provider backbone transport (PBT): Ethernet ilman MAC-oppimista Hallittavuus: Ethernet local management interface (ELMI) Connectivity fault management (CFM), Eth.OAM Suoritustason seuranta (performance monitoring) puuttuu IEEE:n määrittelyistä

Fail open -käytös Käytännön ongelmia ylikuormitustilanteessa kytkin taantuu toistimeksi VLAN-määrittelyt yms. menettävät tehonsa broadcast liikenne kasvaa suorituskyky laskee Yksinkertaiset hallintamodulit monoliittinen hallintaohjelmisto: helppo tehdä DoS-hyökkäys ei muistinsuojauksia taulukoiden ylikirjoittaminen Kloonatut MAC-osoitteet MAC-rewrite tarvitaan tilaajaverkoissa Epäyhteensopivat STP-toteutukset Tunnettuja bugeja Kaikki auki kaikille -oletusasetukset

Tietoturvauhkat Kytkimeksi tekeytyminen (STP, CDP, DTP, HSRP, VTP, 802.1q, 802.1x, ISL) kaiken liikenteen kierrättäminen oman koneen kautta VLAN:ien muuttaminen DoS, jne. MAC flooding: kytkimen pakottaminen fail open -tilaan Apuprotokollien heikkoudet: ARP spoofing, DHCP spoofing Valmiit työkalut kaikkien saatavilla Yersinia, dsniff, THC-Parasite SSH ja SSL -yhteyksien MiM -hyökkäykset

Suositukset Asiakkaan ja operaattorin Ethernet-laitteiden välillä ei ikinä saisi olla kytkintason peering -yhteyttä Vähintään STP, CDP, yms. disabloitava Jos halutaan tukea asiakkaan VLAN:ja, pitäisi käyttää esim. PB (Q-in-Q) tai VLAN:t konfiguroitava manuaalisesti...toisaalta kuinka sitten estetään tahalliset tai tahattomat silmukat? Vain PBB (MAC-in-MAC) tai PBT turvaavat siirtoverkon MAC-tulvitukselta Kattava hallinta STP:n toiminnan aktiivinen seuranta toimiviksi havaittujen ja turvallisten oletusarvojen ajaminen laitteisiin ennen asennusta ELMI:n, CFM ja/tai Eth.OAM käyttöönotto Laitevalmistajien turvallisuuslaajennukset eivät yleensä skaalaudu

Yhteenveto Ethernet-tekniikkaa käyttäen voidaan periaatteessa rakentaa siirtoverkko Vaatii huolellisen suunnittelun Tiukka hallinta- ja käyttöönottokuri Uusimmat laajennukset (hierarkkia ja hallinta) käyttöön Ei ole enää plug-and-play; katoavatko kustannusedut Huolimattomasti rakennettu ja ylläpidetty verkko antaa mahdollisuudet Estää tai muuttaa verkon toimintaa Vakoilla tai muuttaa muiden asiakkaiden liikennettä Ilman kunnon hallintaa vikojen paikannus hankalaa

Kysymyksiä?

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute