伴隨著 TANET / TWAREN 骨幹100G 的新世代發展 校園網路管理比起十年前更加嚴峻 逐一介紹不同層面的挑戰,以及因應之道

Similar documents
PowerPoint 簡報

SL2511 SR Plus 操作手冊_單面.doc

AL-M200 Series

IP505SM_manual_cn.doc

ebook140-9

SERVERIRON ADX

D E 答 案 :C 3. 工 作 站 A 配 置 的 IP 地 址 为 /28. 工 作 站 B 配 置 的 IP 地 址 为 /28. 两 个 工 作 站 之 间 有 直 通 线 连 接, 两 台

BYOD Http Redirect convergence Client (1) 2008R2 NLB( ) (2) NLB Unicast mode switch flooding (arp ) NLB DNS Redirect 1. Round-Robin DNS DNS IP/DNS Cli

BYOD IP+Optical (IP NGN) API 4. End-to-End (Service Aware) 5. IP NGN (IP Next Generation Network) ( ) Prime Carrier Management Access Edge Co

財金資訊-80期.indd

(UTM???U_935_938_955_958_959 V )

TCP/IP TCP/IP OSI IP TCP IP IP TCP/IP TCP/IP

SAPIDO GR-1733 無線寬頻分享器

Symantec™ Sygate Enterprise Protection 防护代理安装使用指南

~# nano /etc/my.cnf [mysqld] character_set_server=utf8 character_set_client=utf8 max_heap_table_size=90m tmp_table_size=64m join_buffer_size=64m innod


ebook20-8

Windows RTEMS 1 Danilliu MMI TCP/IP QEMU i386 QEMU ARM POWERPC i386 IPC PC104 uc/os-ii uc/os MMI TCP/IP i386 PORT Linux ecos Linux ecos ecos eco

文件1

第 1 章 概 述 1.1 计 算 机 网 络 在 信 息 时 代 中 的 作 用 1.2 计 算 机 网 络 的 发 展 过 程 *1.2.1 分 组 交 换 的 产 生 *1.2.2 因 特 网 时 代 *1.2.3 关 于 因 特 网 的 标 准 化 工 作 计 算 机 网 络 在

QL1880new2.PDF

84

C3_ppt.PDF

Microsoft PowerPoint - 数据通信-ch1.ppt

IC-900W Wireless Pan & Tilt Wireless Pan & Tilt Remote Control / Night Vision FCC ID:RUJ-LR802UWG

untitled

SEC-220

OSI OSI 15% 20% OSI OSI ISO International Standard Organization 1984 OSI Open-data System Interface Reference Model OSI OSI OSI OSI ISO Prototype Prot

附件:技术测评需求

中文朗科AirTrackTM T600 迷你无线路由器用户手册.doc

<4D F736F F F696E74202D FC2B2B3F85FA44AAB49B0BBB4FABB50B977A8BEA874B2CEC2B2A4B6BB50C0B3A5CE2E707074>

ebook140-8

<B1B1BEA9B9E2BBB7D0C2CDF8BFC6BCBCB9C9B7DDD3D0CFDEB9ABCBBEB4B43F3F12FB6CB293>

Basic System Administration

R3105+ ADSL

ch08.PDF

IP Access Lists IP Access Lists IP Access Lists

自由軟體教學平台

Simulator By SunLingxi 2003

P4i45GL_GV-R50-CN.p65

QVM330 多阜寬頻路由器

穨CAS1042中文手冊.doc

網路安全:理論與實務 第二版


Cloud LAN Layer 2 Layer 3 IP Layer 2 Layer 2 Layer 2 Layer 3 Layer 3 VPN (1) ( / ) QoS LAN compute SAN compute IP Fiber Channel LAN Layer 3 SAN VLAN V

1. 二 進 制 數 值 ( ) 2 轉 換 為 十 六 進 制 時, 其 值 為 何? (A) ( 69 ) 16 (B) ( 39 ) 16 (C) ( 7 A ) 16 (D) ( 8 A ) 在 電 腦 術 語 中 常 用 的 UPS, 其 主 要 功 能

《计算机网络》实验指导书

目 彔 1. 准 备 工 作 登 彔 设 置 功 能 说 明 实 时 监 控 基 本 控 制 功 能 设 置 画 质 调 节 彔 像 与 抓 拍


<4D F736F F F696E74202D20A1B6CFEEC4BFD2BB20B3F5CAB6BCC6CBE3BBFACDF8C2E7A1B7C8CECEF1C8FD20CAECCFA A1A24950D0ADD2E9BACD4950B5D8D6B72E707074>

ext-web-auth-wlc.pdf

自由軟體教學平台

1

CD (OpenSourceGuide OpenSourceGuide.pdf) : IR LED


穨CAS1042快速安速說明.doc

一.NETGEAR VPN防火墙产品介绍

RUCKUS ICX / RJ-45 USB USB G 24 10/100/1000 Mbps RJ GbE EPS /100/1000 Mbps RJ GbE / 10 GbE P 24 1

功 能 和 优 势 业 界 知 名 的 保 修 服 务 - MLD 侦 听 : 将 IPv6 组 播 流 量 转 发 到 合 适 的 接 口 ; 避 免 IPv6 组 播 流 量 泛 洪 网 络 - IPv6 ACL/QoS: 支 持 ACL 和 IPv6 网 络 流 量 QoS - IPv6 就

产品画册 S2700系列企业交换机 2

LAMP system and relative tools like SNMP, Expect, Nmap, etc. to build a cross- platform, lo

SIP/ENUM Trial

一、选择题

untitled

專業式報告

User ID 150 Password - User ID 150 Password Mon- Cam-- Invalid Terminal Mode No User Terminal Mode No User Mon- Cam-- 2

硬體安裝與ADSL.doc

專業式報告

epub 61-2

untitled

1 IT IT IT IT Virtual Machine, VM VM VM VM Operating Systems, OS IT

TPM BIOS Infineon TPM Smart TPM Infineon TPM Smart TPM TPM Smart TPM TPM Advanced Mode...8

飞鱼星多WAN防火墙路由器用户手册

自由軟體教學平台

工程师培训

GPRS IP MODEM快速安装说明

目 錄 第 一 章 weberp 簡 介... 6 第 一 節 概 述... 6 第 二 節 安 全 性... 7 第 三 節 功 能... 7 一 銷 售 及 訂 單... 7 二 稅... 8 三 應 收 帳 款... 8 四 存 貨... 8 五 購 買... 9 六 應 付 帳 款... 9

A API Application Programming Interface 见 应 用 程 序 编 程 接 口 ARP Address Resolution Protocol 地 址 解 析 协 议 为 IP 地 址 到 对 应 的 硬 件 地 址 之 间 提 供 动 态 映 射 阿 里 云 内

Serial ATA ( Silicon Image SiI3114)...2 (1) SATA... 2 (2) B I O S S A T A... 3 (3) RAID BIOS RAID... 5 (4) S A T A... 8 (5) S A T A... 10

FreeRouter V2 完全手册

Abstract arm linux tool-chain root NET-Start! 2

TRILITHIC 860DSP / 860DSPi 860 DSP 1. SSR & RSVP +20dBmV +80dBuV -20dBmV~~+20dBmV dBmV +110dBuV -40dBmV~~+50dBmV 3. TEL: (020) FAX: (0

RAQMON Context Setting MG PDA Applications RTP / FTP/ HTTP TCP/UDP S ignaling control plane (e.g. RS VP, NS IS) Streaming Media, Transaction, Bulk dat

價規一覽表 仁銓契約編號 : _275 區別 : 臺北市 新北市 桃園市 新竹縣 ( 市 ) 臺中市契約期間 :108/03/26~109/03/25 軟體標契約價是含稅 5% 與 IDB 服務費 1.5% 經濟部工業局 108 年第一次電腦軟體共同供應契約採購案號 _

穨control.PDF

第 11 章 互聯網技術 11.1 互聯 網 和 萬 維 網 的 發 展 歷 史 A. 互聯網的發展 互聯網是由 ARPANET 開 始發展的 1969 年 美國國防部高級研究計劃署 (ARPA) 把部分軍事研究所和大 的電腦連接起來 建造了㆒個實驗性的電腦網絡 稱為 ARPANET 並 列 的功能

9 Internet 10 Internet

Transcription:

東華大學 分享網路管理與資訊安全 2018/08/21 張瑛杰 1

暨南大學簡介 2

暨南大學簡介 3

暨南大學簡介 4

暨南大學簡介 5

自我介紹 張瑛杰 任職於國立暨南國際大學 資訊工程學系兼任助理教授 計算機與網路中心技術員 學歷 國立暨南國際大學國際企業學系博士學位 國立暨南國際大學資訊管理學系碩士學位 長榮大學企業管理學系學士學位 6

自民國 92 年任職於國立暨南國際大學擔任台灣高品質學術研究網路 (TWAREN) 專任助理負責 TWAREN GigaPOP 維運業務推動 於民國 97 年執行台灣學術網路 (TANet) 南投區網中心成立與網路管理 多次承接財團法人台灣網路資訊中心 (TWNIC) IPv6 推廣與教育訓練計畫, 對象包含政府與學術單位 7

曾多次接受原廠演講邀約 無線網路 資訊安全 在 2017 年亞太網路資訊中心 ( APNIC) Asia-Pacific Network Information Centre 第 44 屆會議上進行發表 8

長期協助國內不同區網中心與縣網中心 進行教育訓練 在網路與資訊安全領域 有 14 年以上的實務經驗 9

上午場 09:00 ~ 12:00 下午場 13:00 ~ 16:00 10

伴隨著 TANET / TWAREN 骨幹 100G 的新世代發展 校園網路管理 比起十年前更加嚴峻 逐一介紹不同層面的挑戰 以及因應之道 11

上午場大綱 1. 關鍵性的校園網路管理指標有哪些? 2. 如何有效運用成熟的網路管理套件 3. IPv4/IPv6 Dual Stack 模式下, 管理層需要面對的挑戰 4. 傳統校園網路拓樸的風險 5. 資訊安全與建置設備成本的兩難 6. 分享暨南大學校網路管理實務 12

校園網路查修 關鍵性指標 13

管理五大要訣 網路拓樸 網段規劃 節點資訊 設備功能 技術資源 14

校園網路拓樸 Core Layer Router Layer 3 Switch Firewall IPS Load Balance Distribution Layer or Aggregation Layer Layer 2 Switch Access Layer Layer 2 Switch 15

繪製簡易學校的網路架構圖 16

對外介接線路 TANET TWAREN ISP CABLE 17

線材種類 UTP Cat 5e Cat 6 Fiber 光纖單模多模 光纖模組 SFP SX LX ZX SFP+ SR LR 18

網段規劃 1 個 Public 網段 1 個 Private 網段 1 個 Public IP address 網段 + 1 個 Private 網段 1 個 Public 網段 + n 個 Private 網段 IPv6 在一個 Vlan 中提供一組 /64 19

Addresses Hosts Netmask Amount of a Class C /30 4 2 255.255.255.252 1/64 /29 8 6 255.255.255.248 1/32 /28 16 14 255.255.255.240 1/16 /27 32 30 255.255.255.224 1/8 /26 64 62 255.255.255.192 1/4 /25 128 126 255.255.255.128 1/2 /24 256 254 255.255.255.0 1 /23 512 510 255.255.254.0 2 /22 1024 1022 255.255.252.0 4 /21 2048 2046 255.255.248.0 8 /20 4096 4094 255.255.240.0 16 /19 8192 8190 255.255.224.0 32 /18 16384 16382 255.255.192.0 64 /17 32768 32766 255.255.128.0 128 /16 65536 65534 255.255.0.0 256 20

校園網路節點資訊 對照表 牆壁孔 Switch port description IP address 與 Switch port MAC 與 Switch port IP address & MAC 與 Switch port 對照表 無線網路 SSID 的編碼 21

17 項網管功能測試 管理上須具備的功能 22

系統提供 SYSLOG, 包括外送與內存於設備上, 並且不因電力中斷而造成設備內存的紀錄消失, 有利於查修 SYSLOG 23

具備 SNMP v1/v2c/v3, 可以透過 polling 的方式取的資訊,MRTG 使用須注意超過 1G 流量務必使用 v2c SNMP 24

防止封包一直在迴路中循環而送不出去, 導致網路癱瘓, 防止最常發生的單點 loop LOOP DETECTION 25

防止 GW 被假冒避免使用者被欺騙綁定 MAC 在 DOWN LINK 限制使用權限 ARP SPOOFING 26

同樣是避免迴圈發生, 須注意過大的 Domain 可能造成效能問題 SPANNING TREE 27

防止未經允許下使用者私自 接取會發 budp 的 Switch BPDU 28

允許單一埠執行 IP & MAC 位址的綁定 IP & MAC & PORT 29

運用於電腦教室內的大量派送服務, 協助處理以少量頻寬傳送超載的資料, 並減輕相關網路設備的負載 MULTICAST 30

提供 Netflow v5/v9 或 sflow 流量監控功能 NETFLOW / SFLOW 31

提供雙向 ACL (Access Control List) 封包封鎖之 ACL 計數器封包允許之 ACL 計數器 ACL / FILTER 32

包括可以透過 IPv6 執行的網管方式 Syslog Telnet SSH SNMP NTP & DNS IPV6 33

確保 DHCP Server 的回應封包一定會來自合法的 DHCP 伺服器 DHCP SNOOPING 34

可指定 port 雙向或單向的資 料進行 mirror PORT MIRRORING 35

避免廣播封包量過大, 可以提供單純告警或是直接封鎖兩種做法 STORM CONTROL 36

當修改系統造成本系統失聯時, 設定檔須能在指定時間內自動恢復成之前可連線狀態之功能, 可節省設定錯誤造成斷線時必須至現場處理的時間 COMMIT CONFIRMED DEFAULT TIME RECOVERY CONFIGURATION 37

系統提供多組以時間排序的設定檔儲存, 可選擇任一設定檔進行還原, 還原過程中網路不中斷 ROLLBACK 38

Console Port Telnet SSH 及 HTTP/HTTPS 等方式均可進行網管及參數設定與執行系統軟體更新 連線方式 39

12 項參數設定 該如何確認有哪些參數 40

broadcast multicast & unknown-unicast Bandwith / Count STORM 41

Trust un-trust rate limit DHCP SNOOPING 42

Dynamic ARP inspection DAI 43

避免跨網段大量掃 IP address ICMP-LIMIT 44

限制可存取的來源 SNMP LIMIT 45

避免 NTP 放大攻擊 NTP LIMIT 46

限制每一個 port 的 MAC count 以及 MAC table 暫存的 time MAC TABLE 47

限制同網段廣播封包量以及 Router 上 ARP 暫存的 time ARP 48

ssh & https telnet & http LOGIN LIMIT 49

避免惡意搶奪 Gateway GATEWAY MAC - STATIC 50

避免太大的 domain STP 51

紀錄資訊是否足以提供判斷 HISTORY SYSLOG 52

資安防禦機制 In-line / sniffer mode 53

Critcal 應變流程 資安設備 Log Router mail 監看 / 學習 統計 / 查詢 自動阻擋 管理者 High / Medium 應變流程 資安設備 Log mail Router 監看 / 學習 統計 / 查詢 管理者 手動阻擋 54

2016-11-06 all day / critical 統計時間約為 2016-11-06 晚間九點五十分 55

2016-11-06 all day / critical 小時來源 IP address 次攻擊類型 20 19 93.158.200.132 30 Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass 23.95.27.40 2 Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass 93.158.200.132 30 Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass 23.95.27.40 6 Netcore.Netis.Devices.Hardcoded.Password.Security.Bypass 統計時間約為 2016-11-06 56 晚間九點五十分

2016-11-06 all day / high 57

2016-11-06 all day / medium 58

59

2016-11-05 all day / high 60

查詢內部資訊 61

派送指令 預設指令 set firewall family inet filter re_filter term deny_atk from destinationprefix-list admin_atk_v4 set firewall family inet filter re_filter term deny_atk then count blockcount set firewall family inet filter re_filter term deny_atk then discard 阻擋指令 set policy-options prefix-list admin_atk_v4 14.38.137.46/32 62

派送模組 63

技術支援 各校使用經驗交流 SOP 是否出充足 廠商的配合程度 原廠的支援程度 64

IPv4/IPv6 Dual Stack 模式下 對資安防護及區域聯防服務推動 的衝擊與影響以及新挑戰 65

Cacti 網管軟體 66

討論內容 What is Cacti? 使用 Cacti 的原因和好處 Cacti 在實務上的運用 告警類型 各項設定方式 What is rrdtool? rrdtool 和 MRTG 的差異 程式碼解說 資料來源 67

提供管理者進行遠端設備監控的平台包括流量, 負載, 溫度, 人數等 基本套件 Apache PHP MYSQL SNMP 必要套件 RRDTOOL Cacti What is Cacti 68

69

使用 Cacti 的原因與好處 系統管理者 架設簡易 使用容易 實用的 plugin Monitor Settings THOLD 重點 :rrdtool 的整合使用平台 70

Cacti 在實務上的運用 Router CPU Loading 骨幹流量 Switch & AP 設備是否有回應 流量是否滿載 71

告警類型一 72

告警類型二 73

操作說明 1. 新增設備流量 2. 新增 CPU LOADING 3. 設定異常告警 74

新增設備流量 1 75

新增設備流量 2 76

新增設備流量 3 77

新增 CPU loading 1 78

新增 CPU loading 2 79

CPU 異常告警 80

CPU 異常告警 81

CPU 異常告警 82

What is rrdtool rrdtool 和 MRTG 是相同的作者 面對 MRTG 的缺點進行改進, 但並非完美 使用動機 效率問題 使用 rrdtool 的出發點, 是因為在相同伺服器下, 使用 rrdtool 會比使用 MRTG 監測更多的遠端網路設備 83

rrdtool & MRTG 的差異 MRTG 因資料儲存格式的關係, 所以時間單位為日 週 月 rrdtool 透過數值再運算的方式, 提供比較好的處理方法在數值差異過大問題上 因架構的改變,rrdtool 具有強大的繪圖能力 84

rrdtool 的運作流程 rrdtool create rrd 的資料庫副檔名為 *.rrd 例如 AA1CI.rrd AA1DI.rrd rrdtool update 將 snmpget 取得的資料更新到資料庫內, 例如 AA1CI.rrd 五分鐘一次 rrdtool graph 只需要繪圖的時候才執行, 可以減少 server 的 loading 85

rrdtool create 86

rrdtool update 87

rrdtool graph 88

rrdtool 繪製的圖 89

http://www.cacti.net/ 90

91

舊版的套件網站 92

https://docs.cacti.net/plugins 93

Cacti 安裝及 thold 套件的搭配 94

安裝相關的套件 Apache yum y install httpd httpd-devel 95

安裝相關的套件 MySQL yum y install mysql mysql-server 96

安裝相關的套件 PHP yum y install php-mysql php-pear phpcommon php-gd php-devel php php-mbstring php-cli 97

安裝相關的套件 PHP-SNMP yum y install php-snmp 98

安裝相關的套件 NET-SNMP yum y install net-snmp-utils net-snmp-libs 99

安裝相關的套件 RRDTool yum y install rrdtool 100

啟動 Apache, MySQL, SNMP service httpd start service mysqld start service snmpd start 101

設定系統啟動 /sbin/chkconfig --levels 345 httpd on /sbin/chkconfig --levels 345 mysqld on /sbin/chkconfig --levels 345 snmpd on 102

安裝相關的套件 EPEL wget http://download.fedoraproject.org/pub/epel/ 6/x86_64/epel-release-6-8.noarch.rpm rpm -ivh epel-release-6-8.noarch.rpm yum install epel-release wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm rpm -ivh epel-release-7-9.noarch.rpm 103

安裝 Cacti yum y install cacti 104

設定 MySQL 密碼 mysqladmin -u root password < 密碼自己打 > 105

建立 MySQL Cacti 資料庫 mysql -u root p create database cacti; GRANT ALL ON cacti.* TO < 帳號自己打 >@localhost IDENTIFIED BY < 密碼自己打 >'; FLUSH privileges; quit; 106

搜尋 cacti.sql 的位置 rpm -ql cacti grep cacti.sql 107

在 MySQL 設定 Cacti Tables mysql -u cacti -p cacti < /usr/share/doc/cacti- 0.8.8h/cacti.sql 108

設定 Cacti 的 MySQL Settings vim /etc/cacti/db.php /* make sure these values reflect your actual database/host/user/password */ $database_type = "mysql"; $database_default = "cacti"; $database_hostname = "localhost"; $database_username = < 帳號自己打 >"; $database_password = < 密碼自己打 >"; $database_port = "3306"; $database_ssl = false; 109

設定防火牆 iptables -A INPUT -p udp -m state --state NEW --dport 80 -j ACCEPT iptables -I INPUT -p tcp -m state --state NEW -- dport 80 -j ACCEPT service iptables save /etc/init.d/iptables restart 110

設定 cacti.conf vim /etc/httpd/conf.d/cacti.conf 111

重新啟動 Apache service httpd restart 112

設定 Crontab vim /etc/cron.d/cacti */5 * * * * cacti /usr/bin/php /usr/share/cacti/poller.php > /dev/null 2>&1 取消註解就好 113

透過瀏覽器連上虛擬機 114

透過瀏覽器連上虛擬機 115

透過瀏覽器連上虛擬機 116

管理者登入 帳密為 admin, admin 會強制更換密碼 117

設定遠端 snmp 左側欄點 Devices 點右上 Add 118

設定遠端 snmp 119

製作 Graphs 點設定完成頁右上的 *Create Graphs for this Host 或是點左側欄的 New Graphs 將你感興趣的 Interfaces 右邊打勾 在右下 Select a graph type 選擇 In/Out Bits (64- bit Counters) 點右下的 Create 在每一頁重複以上步驟 ( 一次性設定可以把左上的 Items 改成較大的數, 可以改變一頁顯示的量 ) 120

製作 Graphs 121

製作 Graphs 點左側欄的 Graph Trees 點右上的 Add 設定完後點 Create 122

製作 Graphs 點右邊的 Add 第二項 Tree Item Type 選擇 Host 123

安裝 Threshold 相關套件 cd /usr/share/cacti/plugins wget http://ms14.voip.edu.tw/~kenwang0215/files/ settings-v0.71-1.tgz wget http://ms14.voip.edu.tw/~kenwang0215/files/ thold-v0.5.0.tgz tar -xvf settings-v0.71-1.tgz tar -xvf thold-v0.5.0.tgz 124

安裝 Threshold 相關套件 125

設定 SMTP Server 點左側欄的 Settings 點 Mail / DNS 標籤 126

設定 Notification List 點左側欄 Notification List 點右上 Add 127

設定 Threshold 點左側欄 Threshold 點右上 Add 128

設定 Threshold 129

運用 SDN 技術 解決臺灣學術網路 (TANet) 校內資訊安全管理之困境 2018/03/15 張瑛杰 ycc@ncnu.edu.tw 130

大綱 臺灣學術網路 (TANet) 為了落實網路安全管理 在網路骨幹建構整偵測與通報機制 131

大綱 因為資安政策各校自主規劃資安防禦設備 大多是將 IPS 或 IDS 建置在校園出口 這和 TANet 資訊安全架構有重疊之處 132

大綱 國中小 高中職在校園內網的資訊安全管理明顯地表現較薄弱大部分將資安設備取代核心路由器在收納層建置小型的資安設備 133

大綱 當內網大量傳輸很容易造成單一節點資安設備效能不足原因在受限於資安設備的效能隨著使用頻寬的提升變成一個難以解決的問題 134

希望能分享運用 SDN 概念 提出的管理架構 面對頻寬持續增加時的資安挑戰 135

臺灣學術網路 (Taiwan Academic Network, TANet) 臺灣各級學校網路及資訊教育之平台 136

臺灣學術網路 教育部及幾個主要國立大學於民國 79 年 7 月起所共同建立的一個全國性教學研究網路 其主要目的是支援全國各級學校及研究機構之教學研究活動促進資源分享與合作 137

臺灣學術網路 TANet 骨幹網路 骨幹網路 區域網路中心 縣市教育網路中心 TANet 存取網路 大專校院 高中職校 國中小學 138

教育學術網百 G 數位學校創第 E 教育部 中央研究院 科技部國家實驗研究院 規劃推動三年期計畫教育學術研究骨幹網路頻寬效能提升計畫 - 100G 骨幹網路 139

教育學術網百 G 數位學校創第 E 140

教育學術網百 G 數位學校創第 E 105 年 4 月 26 日開始試營運 建置臺灣高品質 高頻寬學術網路骨幹 國內學研單位教學 研究 實驗 共用的網路平臺, 增加雲端服務效能 141

教育學術網百 G 數位學校創第 E 提供公開透明的網路速度及品質資訊 建構以臺灣為中心 連接亞太 歐美, 與全世界接軌的 學術研究網路 142

記者會現場 143

144

學術網路資訊安全通報機制 為了落實網路安全管理 在網路骨幹建構完整 偵測與通報機制 145

資安通報重要單位 台灣學術網路危機處理中心 TANet Computer Emergency Response Team 學術資訊安全維運中心 Academic Security Opertion Center 區網中心 GigaPOP 146

當頻寬不斷增加 1G / 10G / 40G / 100G 既有設備依舊正常提供服務 但問題是 這些設備都只 1G Port 可以進行介接 例如 :Firewall IPS IDS 常聽到的解決方法 購買更昂貴的資安設備 10G / 40G 147

10G / 40G / 100G 的資訊安全設備在建置成本上都會高於 Router 或 Switch 甚至是倍數成長這是一個需要被討論的問題!!! 148

討論項目 1. SDN-based security supporting infrastructure(i) Network and Service bypass 2. SDN-based security supporting infrastructure(2) Netflow generation 149

Region Network Center TANET 100G Previous Topology Pitfalls Devices out of service Mini-gbic failure Single point of failure Cable / Fiber failure Failed configuring Single point of failure 150

Region Network Center TANET 100G New Topology Bypass Switch Security Supporting Mechanism: - Bypass switch - Proprietary SDN device( L2-L7 support ) IDS-1 IDS-2 SDN device IDS-3 IDS-4 IPS 151

Region Network Center TANET 100G Bypass Switch In-Line Mode Network packets pass through the Bypass Switch, SDN device, and IPS IDS-1 IDS-2 IDS-3 IDS-4 152

Region Network Center TANET 100G Bypass Switch Bypass Switch should provide health check in case any element (including itself, SDN device, IPS) malfunctions. Health Check 153

Region Network Center TANET 100G Bypass Switch TAP MODE When some troubles happen Health Check packets are lost or delayed a lot(high latency) Health Check IPS 154

Region Network Center TANET 100G When IPS can not sustain for the network throughputs. However, let s consider 1080P/4K YouTube video streaming: High bandwidth Low risk SDN [Service Bypass] The SDN device directs YouTube packets not to pass through IPS/IDS but loop back directly IPS 155

Region Network Center TANET 100G The SDN device helps to reduce IPS loading. We could extend the period of use for IPS SDN IPS 156

Region Network Center TANET 100G Load balance function could direct traffic to a few of IDS simultaneously according to IP address / subnet/5-tuple hash SDN IPS 157

Region Network Center TANET 100G We could control different application traffic to different IDS. This eases new services testing. SDN TEST LAB IPS 158

Region Network Center TANET 100G Bypass Switch SDN Function ( IDS + IPS ) Flexible IDS-1 IDS-2 IDS-3 IDS-4 Redundant TEST LAB IPS 159

討論項目 1. SDN-based security supporting infrastructure(i) Network and Service bypass 2. SDN-based security supporting infrastructure(2) Netflow generation 160

Region Network Center TANET 100G Bypass Switch Flow Report Server Router does not support 1:1 non-sampling Netflow v9, If traffic grows up day by day, Router will always busy. 161

Region Network Center TANET 100G In-Line Mode Flow Report Server SDN The SDN device analyzes traffic and then generate 1:1 Netflow v9 for Flow Report Server. This helps to reduce Router CPU usage. 162

Traditional NetFlow generation architecture New NetFlow generation architecture Region Network Center TANET 100G Region Network Center TANET 100G NetFlow (Sampling 64:1) Port Mirror Filtering L2-L7 filtering (remove low-risk traffic) NetFlow Gen Netflow Analyzer Netflow Analyzer NetFlow V5/V9 generation Sampling rate 1:1 Active Timeout 60 sec Passive Timeout 60 sec 163

Region Network Center TANET 100G TAP Mode Flow Report Server SDN If IPS is out of service so that Bypass Switch state is changed to TAP mode, we still could log 1:1 traffic flow 164

比較之下的優點 SDN-based Security Supporting Mechanisms 可用性 負載平衡 降低成本 彈性增加 165

TANET 的 Last Mile 國中小是 TANet 數量最多的連線單位 臺灣學術網路 (TANet) 為了落實網路安全管理 在網路骨幹建構完整偵測與通報機制 166

Last Mile 的問題 各校在資安管理的自主規劃 大多是將 IPS 或 IDS 建置在校園出口 這和 TANet 資訊安全架構有重疊之處 167

校園內網 資安設備大部分建置於核心層或收納層內網大量傳輸很容易造成單一節點問題資安設備建置成本隨著使用頻寬的提升變成一個難以解決的問題 168

分享運用 SDN 提出新的管理架構 面對頻寬持續增加 資安挑戰 169

校內實測紀錄 地點 國立暨南國際大學管理學院 無線網路使用環境 拓樸 將 SDN Device 夾在存取層 過濾內容 Facebook Youtube 170

建議不同拓樸模式 171

AP AP AP Switch POE Switch Switch AP AP POE Switch 國中小高中職常見網路拓樸 172

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例一 173

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例二 174

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例三 175

對於國中小 高中職的 建議方案 176

AP AP AP Switch POE Switch Switch AP AP POE Switch SDN IPS 177

AP AP AP Switch POE Switch SDN AP AP POE Switch IPS 178

FaceBook 和 Youtube 送進去 IPS 的量 01/22 18:50 濾掉 80.63 Mbps, 約總流量的 94.14% 02/01 15:05 濾掉 152.58 Mbps, 約總流量的 94.18% 180 160 140 120 100 80 Mon Jan 22 18:50:01 80.63 Mbps 94.14% Thu Feb 1 15:05:01 152.58Mbps 94.18% 60 40 20 0 179

180 160 Mon Jan 22 18:50:01 80.63 Mbps 94.14% Thu Feb 1 15:05:01 152.58Mbps 94.18% 140 120 100 80 60 40 20 0 180

IP address 黑名單 IP address 黑名單是普遍的作法 Gateway IPS 透過 SDN Device 過濾異常黑名單 降低 Router 和 IPS 的 Loading 增加設定筆數 181

過去 Domain name 過濾 透過 IP address 黑名單降低資安風險 現在 駭客使用 Domain name 可以不斷變更 IP address 在 SDN Device 上設定阻擋已知異常 Domain name 可有效抑制更換 IP address 的攻擊行為 182

Netflow 1:1 紀錄 透過 Free Netflow Analyzer 收集資料 完成 1: 1 netflow 轉換 詳細記錄資訊 183

南投區網中心建置 184

校園測試型號 185

繼續不斷嘗試不同做法 186

資訊收集查詢概念 Layer 3 IP address & MAC address Layer 2 MAC address & Switch Port number 187

Syslog-ng 架設 輔助式管理 188

輔助式管理過程 Switch 管理機制 常用的 linux 指令 Syslog-ng Server 安裝流程 http://www.cj-gerow.com/ceg/?p=1670 不同的網路設備的 syslog 設定 文字介面封包擷取器 排程 crontab 189

常用的 Linux 指令 cat grep awk tr sort uniq wc crontab 190

cat 範例檔案 1.txt 191

cat 範例檔案 2.txt 192

cat 範例檔案 3.txt 193

grep 找出單一檔案中指定字串的行 找出 13 這一個值出現在哪幾行 找出 13 這一個值出現在哪幾行, 並用顏色顯示 194

grep 找出多個檔案中有指定字串 13 的行, 進一步增加顏色顯示效果 195

grep 統計單一 / 多個檔案中指定字串出現的次數 196

grep 進行多筆數搜尋時, 讀取 3.txt 的關鍵字, 搜尋單一 / 多個檔案 197

grep 進行多筆數搜尋時, 讀取 3.txt 的關鍵字, 搜尋單一 / 多個檔案 198

grep 進行多筆數搜尋時, 搜尋時顯示行數 199

grep 搜尋以特定字串開頭的行 200

grep 搜尋不是特定字串開頭的行 201

搜尋以特定字串結尾的行 202

grep 在單一檔案中搜尋單一 / 多個特定字串的行 203

grep 在多個檔案中搜尋多個特定字串的行 204

grep 查詢網路資訊 eth1 查詢 IPv4 查詢 IPv6 205

awk 印出 2.txt 檔案中的第 1 欄和第 6 欄 206

判別式 == 等於!= 不等於 > 大於 < 小於 >= 大於等於 <= 小於等於 數字不需要 "" 例如 11 文字需要用 "" 例如 "aa" 207

awk 2.txt 檔案, 第 1 欄位等於 09, 印出同行中和第 2 欄位第 3 欄位第 4 欄位 208

awk 2.txt 檔案, 第 1 欄位大於等於 10, 印出同行中和第 2 欄位第 3 欄位第 4 欄位 209

awk 4.txt 檔案, 以 : 作為分隔印出第 1 欄和第 3 欄 210

tr 4.txt 檔案, 刪除 : 211

sort cat 1.txt sort -n -r -k 2 -n 是表示當成數字來排序 -r 將結果反過來 -k 指定要排序的欄位 212

sort 2.Txt 檔案, 將第一行以數字作為排序 213

sort 2.Txt 檔案, 將第一行以數字作為反向排序 214

sort 2.txt 檔案, 將第六行以數字作為排序 215

uniq -c, --count 每行前加上出現次數 -d, --repeated 只印出重複的資料 -u, --unique 只印出不重複的資料 建議 : 請先使用 sort 進行排序 216

uniq 217

uniq 218

SYSLOG-NG Server 安裝流程 219

wget http://dl.fedoraproject.org/pub/epel/6server/i386/epel-release-6-8.noarch.rpm 220

221

222

223

224

225

226

227

228

編輯 IPv4 防火牆 vi /etc/sysconfig/iptables 加入以下兩行 -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT 重啟服務 /etc/init.d/iptables restart 229

編輯 IPv6 防火牆 vi /etc/sysconfig/ip6tables 加入以下兩行 -A INPUT -m state --state NEW -m tcp -p tcp --dport 514 -j ACCEPT -A INPUT -m state --state NEW -m udp -p udp --dport 514 -j ACCEPT 重啟服務 /etc/init.d/ip6tables restart 230

不同的網路設備的 syslog 設定 231

232

233

234

235

文字介面封包擷取器 tcpdump 236

常用參數 -i 指令要監控的網路介面, 如 eth0 lo any 等 tcpdump -i eth0 tcpdump -i eth1 -nn 直接以 IP 及 port number 顯示, 而非主機名與服務名稱 tcpdump -i eth0 - nn -e 直接以用 MAC address 顯示 tcpdump -e 237

範例 host 192.168.1.254 來源或目的 IP 是 192.168.0.254 # tcpdump host 192.168.1.254 src host 192.168.1.254 來源 IP 是 192.168.0.254 # tcpdump src host 192.168.1.254 dst host 192.168.1.254 目的 IP 是 192.168.0.254 # tcpdump dst host 192.168.1.254 238

範例 ether host aa:bb:cc:dd:ee:ff # tcpdump ether host aa:bb:cc:dd:ee:ff 來源或目的 mac address ether src aa:bb:cc:dd:ee:ff # tcpdump ether src aa:bb:cc:dd:ee:ff 來源 mac address ether dst aa:bb:cc:dd:ee:ff # tcpdump ether dst aa:bb:cc:dd:ee:ff 目的 mac address 239

範例 net 192.168.1.0 mask 255.255.255.0 # tcpdump net 192.168.1.0 mask 255.255.255.0 net 192.168.1.0/24 # tcpdump net 192.168.1.0/24 src net 192.168.1.0/24 # tcpdump src net 192.168.1.0/24 dst net 192.168.1.0/24 # tcpdump dst net 192.168.1.0/24 240

範例 tcp # tcpdump tcp 使用 tcp 封包 udp # tcpdump udp 使用 udp 封包 icmp # tcpdump icmp 使用 icmp 封包 241

範例 port 53 來源或目的 port 為 domain (53) # tcpdump port 53 tcp src port 22 # tcpdump tcp src port 22 可加上 src dst 或 tcp udp port syslog # tcpdump port syslog 直接使用 domain 242

排程 crontab 243

資料來源 : 鳥哥的 Linux 私房菜 244

資料來源 : 鳥哥的 Linux 私房菜 245

範例一 資料來源 : 鳥哥的 Linux 私房菜 246

範例二 資料來源 : 鳥哥的 Linux 私房菜 247

範例三 資料來源 : 鳥哥的 Linux 私房菜 248

資料來源 : 鳥哥的 Linux 私房菜 249

校園無線網路 發展與建置規劃分享 250

因為行動裝置的極高度普及無線網路已經是比有線網路更受使用者使用的上網方式 但是, 對於管理者而言如何提供穩定的服務環境並且有效控制成本 這都是一大難題 251

例如 : 狀況一基地台建置地點的選擇, 佈建數量的決定狀況二該怎樣選擇適當的設備狀況三舊技術遇見的瓶頸, 新技術提供的解決方式狀況四有線網路如何規劃 在本次會議中將會分享 1. 暨南大學的無線網路發展史 2. 挑戰高密度的使用環境 3. 如何提升服務效能 4. 檢討過去的規劃方式 5. 發現高乘載設備的優勢 6. 新技術提供的超能力 7. 優化 5GHz 的方式 8. 安全? 如何做? 252

報告大綱 暨南大學的無線網路發展史 挑戰高密度的使用環境 如何提升服務效能 檢討過去的規劃方式 發現高乘載設備的優勢 新技術提供的超能力 vsz 可同時支援新舊版本 優化 5GHz 的方式 253

暨南大學的無線網路發展史 設備型號 Cisco 350 Cisco 1100 D-Link 2590 Controller Ruckus 7363 Ruckus 7372 Ruckus 7982 Controller 採用規格 802.11 b 802.11 a/b/g 802.11 a/b/g/n 2.4GHz or 5GHz Aruba Controller Gateway mode 802.11 g/n & n/a 2.4/5 GHz 2 2 : 2 14 支天線 802.11 g/n & n/a 2.4/5 GHz 2 2 : 2 12 支天線 802.11 g/n & n/a 2.4/5 GHz 3 3 : 3 21 支天線 Ruckus vscg Controller Ruckus R500 Ruckus R600 Ruckus R700 Ruckus R710 802.11 g/n n/a ac 2.4/5 GHz 2 2 : 2 12 支天線 802.11 g/n n/a ac 2.4/5 GHz 3 3 : 3 12 支天線 802.11 g/n n/a ac 2.4/5 GHz 3 3 : 3 21 支天線 802.11 g/n n/a ac 2.4/5 GHz 4 4 : 4 24 支天線 wave2 Ruckus T300 802.11 g/n n/a ac 2.4/5 GHz 2 2 : 2 254

挑戰高密度的使用環境 測試新設備的能耐 255

256

單組 AP 可乘載 201 Client Ruckus 7982 257

2.4GHz 乘載 MAX 116 Client Ruckus 7982 258

5GHz 乘載 MAX 100 Client Ruckus 7982 259

長時間觀察 Ruckus 7982 260

2016/03/16 在校內演講中, 記錄到 R500 同時乘載了 449 個 Client TX 瞬間最高流量部分也有到 36.7 Mbps 261

Ruckus R500 262

如何提升服務效能 其實並不困難 263

管理者所需要了解的資訊 1. 測量空間中訊號衰減狀況 2. 空間內須提供服務的設備數量上限 3. 依環境推估使用者可能使用的設備類型 4. 尋找適當的設備 264

檢討過去規劃的方式 挑戰備援機制與分流問題 265

早期的建置方式 : 1. 採用多組無線網路基地台 2. 單台設備成本便宜 3. 分流使用者的流量 4. 提供備援機制 266

Site Survey 新舊測試報告 267

Site Survey 新舊測試報告 268

發現的瓶頸 : 1. 大量建置導致 2.4GHz 同頻段干擾相當嚴重 2. 有形成本 設備與線路 3. 無形成本 管理與人力 269

消失的成本 發現高乘載設備的優勢 270

成本試算 每人平均成本 若是教室內有 50 個座位 推估設備量為人數之兩倍, 約為 100 個 單台 AP 的乘載量 AP 單價所需數量 AP 成本 單一連線成本 35 人 6,000 元最少三組 18,000 元 180 元 120 人 12,000 元只需一組 12,000 元 120 元 271

總成本試算 20 間教室, 每間 50 個座位, 設備量為人數之兩倍 AP 類型 AP 數量實體線路 24 Port PoE Switch License 低乘載 60 台 60 條 3 台 60 組 高乘載 20 台 20 條 1 台 20 組 272

迷思 分流機制 備援機制當 AP 當機時, 備援組無法收納所有使用者的連線, 無線服務依舊停擺 273

發現新技術的超能力 解決舊技術遇見的瓶頸 274

不同頻段 - 分流概念 正視 5GHz 的使用者快速增加透過 Dual band 的方式分流 2.4GHz & 5GHz 的 Client 一台高乘載的 Ruckus AP 當兩台使用 275

如何挑選頻道 同頻干擾的嚴重性 眼睛看得到,Ping 值高達 300~500 演算法 依據不同 Channel 的可用頻寬 自動挑選適當的 AP Channel 276

智慧型天線 (Smart Antenna) 智慧型天線 (Smart Antenna) 的發展來自於適應性天線陣列 (Adaptive Antenna Array) 增加天線增益 (Antenna Gain) 提升訊號雜訊比 (SNR; Siganl to Noise Ratio), 有利於雜訊的消除 並且降低多路徑衰落 (multipath fading) 與時間延遲延展 ( time delay spread ), 以及增加發射效率 (transmission efficiency) 與訊號涵蓋範圍 277

波束成型技術 (BeamForming) 必須同時結合晶片 天線以及軟體控制 才能發會最好的效果,IEEE802.11ac, 已經將 Beamforming 標準化 278

256 QAM 調變技術 正交振幅調變技術的改變 (QAM;Quadrature Amplitude Modulation) IEEE 802.11n 標準採用的是 64 QAM IEEE 802.11ac 的標準中已經提升採用 256 QAM 指一個封包可以乘載的資料量多寡直接的影響是傳輸速率的改變 279

多重輸入與輸出 MIMO (Multi-input Multi-output) T x R:S 發射天線數量 X 接收天線數量 : 空間流數 3 x 3 : 3 說明的是 三支發射天線與三支接收天線提供三個空間流 4 x 4 : 3 代表有一組天線是冗餘收發器 280

優化 5GHz 的方式 有效提升使用感受 如何讓使用者優先使用 281

各校常見的發展過程 早期 Tunnel - Single Point of Failure 改善 New Topology 進化 Trunk Native Vlan 282

Tunnel - SPOF 當所有流量都回到 Controller 早期使用量不多時可能不成問題, 但是當 loading 增加時, 管理者的心臟就要越大顆 當使用者越多時 加密傳輸是一種可能造成設備負載的狀況, 尤其當原本拓樸上有異常狀況發生時, 可能開始有接不完的抱怨電話 283

New Topology 早期現象 使用 Tunnel mode 易於建置, 經常將 AP 建置在原本的實體線路上 New Topology 易於查修 無線網路查修較為困難, 因此為了便於查修, 常見的做法是佈建實體線路, 提供一張新的網供無線網路服務 實際案例 備援機制 學校又停電了, 但是無線網路是通的 業務權責 管理和問題查修上, 有利於確判別問題 284

Trunk Native Vlan Router interfaces { ge-0/0/0 { unit 0 { family ethernet-switching { port-mode trunk; vlan { members v105; } native-vlan-id v103; } } } trunk Switch 10.103.1.0/16 trunk AP 10.103.3.0/16 讓 management 與 data 分在不同 Vlan 避免廣播封包造成管理上的問題 SSID NCNU 10.105.0.0/16 285

最在乎的報表資訊 那些 AP 遇到同時上線的 Client 接近危險邊緣 建議 : 是否需要增加 AP 那些 AP 下的使用者連線訊號最糟糕 建議 : 調整 AP 位置或增加 AP 286

各項經驗總結 人在哪 基地台就安裝在哪 選擇支援智慧型天線的必要性 有線網段的規劃與設計 287

如何建置 802.1x 無線網路認證 暨大怎麼做? 288

怎麼讓使用者 不需要一直打帳密 暨大怎麼做? 289

分享您的經驗 感謝您的參與 290