PowerPoint 簡報

運用 SDN 技術 解決臺灣學術網路 (TANet) 校內資訊安全管理之困境 2018/03/15 張瑛杰 ycc@ncnu.edu.tw 1

大綱 臺灣學術網路 (TANet) 為了落實網路安全管理 在網路骨幹建構整偵測與通報機制 2

大綱 因為資安政策各校自主規劃資安防禦設備 大多是將 IPS 或 IDS 建置在校園出口 這和 TANet 資訊安全架構有重疊之處 3

大綱 國中小 高中職在校園內網的資訊安全管理明顯地表現較薄弱大部分將資安設備取代核心路由器在收納層建置小型的資安設備 4

大綱 當內網大量傳輸很容易造成單一節點資安設備效能不足原因在受限於資安設備的效能隨著使用頻寬的提升變成一個難以解決的問題 5

大綱 希望能在本次會議上 分享運用 SDN 概念提出的管理架構 面對頻寬持續增加時的資安挑戰 6

感謝 ithome 2017 至 2018 7

自我介紹 張瑛杰 任職於國立暨南國際大學 資訊工程學系兼任助理教授 計算機與網路中心技術員 學歷 國立暨南國際大學國際企業學系博士學位 國立暨南國際大學資訊管理學系碩士學位 長榮大學企業管理學系學士學位 8

自民國 92 年任職於國立暨南國際大學擔任台灣高品質學術研究網路 (TWAREN) 專任助理負責 TWAREN GigaPOP 維運業務推動 於民國 97 年執行台灣學術網路 (TANet) 南投區網中心成立與網路管理 多次承接財團法人台灣網路資訊中心 (TWNIC) IPv6 推廣與教育訓練計畫, 對象包含政府與學術單位 9

曾多次接受原廠演講邀約 無線網路 資訊安全 在 2017 年亞太網路資訊中心 ( APNIC) Asia-Pacific Network Information Centre 第 44 屆會議上進行發表 10

長期協助國內不同區網中心與縣網中心 進行教育訓練 在網路與資訊安全領域 有 14 年以上的實務經驗 11

暨南大學簡介 12

暨南大學簡介 13

暨南大學簡介 14

暨南大學簡介 15

臺灣學術網路 (Taiwan Academic Network, TANet) 臺灣各級學校網路及資訊教育之平台 16

臺灣學術網路 教育部及幾個主要國立大學於民國 79 年 7 月起所共同建立的一個全國性教學研究網路 其主要目的是支援全國各級學校及研究機構之教學研究活動促進資源分享與合作 17

臺灣學術網路 TANet 骨幹網路 骨幹網路 區域網路中心 縣市教育網路中心 TANet 存取網路 大專校院 高中職校 國中小學 18

教育學術網百 G 數位學校創第 E 教育部 中央研究院 科技部國家實驗研究院 規劃推動三年期計畫教育學術研究骨幹網路頻寬效能提升計畫 - 100G 骨幹網路 19

教育學術網百 G 數位學校創第 E 20

教育學術網百 G 數位學校創第 E 105 年 4 月 26 日開始試營運 建置臺灣高品質 高頻寬學術網路骨幹 國內學研單位教學 研究 實驗 共用的網路平臺, 增加雲端服務效能 21

教育學術網百 G 數位學校創第 E 提供公開透明的網路速度及品質資訊 建構以臺灣為中心 連接亞太 歐美, 與全世界接軌的 學術研究網路 22

記者會現場 23

24

學術網路資訊安全通報機制 為了落實網路安全管理 在網路骨幹建構完整 偵測與通報機制 25

資安通報重要單位 台灣學術網路危機處理中心 TANet Computer Emergency Response Team 學術資訊安全維運中心 Academic Security Opertion Center 區網中心 GigaPOP 26

當頻寬不斷增加 1G / 10G / 40G / 100G 既有設備依舊正常提供服務但問題是 這些設備都只 1G Port 可以進行介接例如 :Firewall IPS IDS 常聽到的解決方法 購買更昂貴的資安設備 10G / 40G 27

10G / 40G / 100G 的資訊安全設備 在建置成本上都會高於 Router 或 Switch 甚至是倍數成長這是一個需要被討論的問題!!! 28

討論項目 1. SDN-based security supporting infrastructure(i) Network and Service bypass 2. SDN-based security supporting infrastructure(2) Netflow generation 29

Region Network Center TANET 100G Previous Topology Pitfalls Devices out of service Mini-gbic failure Single point of failure Cable / Fiber failure Failed configuring Single point of failure 30

Region Network Center TANET 100G New Topology Bypass Switch Security Supporting Mechanism: - Bypass switch - Proprietary SDN device( L2-L7 support ) IDS-1 IDS-2 SDN device IDS-3 IDS-4 IPS 31

Region Network Center TANET 100G Bypass Switch In-Line Mode Network packets pass through the Bypass Switch, SDN device, and IPS IDS-1 IDS-2 IDS-3 IDS-4 32

Region Network Center TANET 100G Bypass Switch Bypass Switch should provide health check in case any element (including itself, SDN device, IPS) malfunctions. Health Check 33

Region Network Center TANET 100G Bypass Switch TAP MODE When some troubles happen Health Check packets are lost or delayed a lot(high latency) Health Check IPS 34

Region Network Center TANET 100G When IPS can not sustain for the network throughputs. However, let s consider 1080P/4K YouTube video streaming: High bandwidth Low risk SDN [Service Bypass] The SDN device directs YouTube packets not to pass through IPS/IDS but loop back directly IPS 35

Region Network Center TANET 100G The SDN device helps to reduce IPS loading. We could extend the period of use for IPS SDN IPS 36

Matched, to Abstract the server IP IP DB Signature DB Ethernet Packet Ethernet Packet Ethernet Packet Input IP address Matching Not macted Signature Matching Matched Not Matched Output 1 Output 2 Packet Prism Mechanism Separate YouTube packets from input Ethernet packet stream Output 1: YouTube stream ; Output 2: the other packets 1. Configuration: Input HTTPS/ YouTube signature (insert to Signature DB) 2. [Signature Matching] Check if the signatures can be matched in the input packet payload. Learn the server IP of that packet if matched (insert to IP DB). 3. [IP address Matching] Identify the YouTube packets by server IP address 37

Region Network Center TANET 100G Load balance function could direct traffic to a few of IDS simultaneously according to IP address / subnet/5-tuple hash SDN IPS 38

Region Network Center TANET 100G We could control different application traffic to different IDS. This eases new services testing. SDN TEST LAB IPS 39

Region Network Center TANET 100G Bypass Switch SDN Function ( IDS + IPS ) Flexible IDS-1 IDS-2 IDS-3 IDS-4 Redundant TEST LAB IPS 40

討論項目 1. SDN-based security supporting infrastructure(i) Network and Service bypass 2. SDN-based security supporting infrastructure(2) Netflow generation 41

Region Network Center TANET 100G Bypass Switch Flow Report Server Router does not support 1:1 non-sampling Netflow v9, If traffic grows up day by day, Router will always busy. 42

Region Network Center TANET 100G In-Line Mode Flow Report Server SDN The SDN device analyzes traffic and then generate 1:1 Netflow v9 for Flow Report Server. This helps to reduce Router CPU usage. 43

Traditional NetFlow generation architecture New NetFlow generation architecture Region Network Center TANET 100G Region Network Center TANET 100G NetFlow (Sampling 64:1) Port Mirror Filtering L2-L7 filtering (remove low-risk traffic) NetFlow Gen Netflow Analyzer Netflow Analyzer NetFlow V5/V9 generation Sampling rate 1:1 Active Timeout 60 sec Passive Timeout 60 sec 44

Region Network Center TANET 100G TAP Mode Flow Report Server SDN If IPS is out of service so that Bypass Switch state is changed to TAP mode, we still could log 1:1 traffic flow 45

比較之下的優點 SDN-based Security Supporting Mechanisms 可用性 負載平衡 降低成本 彈性增加 46

TANET 的 Last Mile 國中小是 TANet 數量最多的連線單位 臺灣學術網路 (TANet) 為了落實網路安全管理 在網路骨幹建構完整偵測與通報機制 47

Last Mile 的問題 各校在資安管理的自主規劃 大多是將 IPS 或 IDS 建置在校園出口 這和 TANet 資訊安全架構有重疊之處 48

校園內網 資安設備大部分建置於核心層或收納層內網大量傳輸很容易造成單一節點問題資安設備建置成本隨著使用頻寬的提升變成一個難以解決的問題 49

分享運用 SDN 提出新的管理架構 面對頻寬持續增加 資安挑戰 50

校內實測紀錄 地點 國立暨南國際大學管理學院 無線網路使用環境 拓樸 將 SDN Device 夾在存取層 過濾內容 Facebook Youtube 51

建議不同拓樸模式 52

AP AP AP Switch POE Switch Switch AP AP POE Switch 國中小高中職常見網路拓樸 53

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例一 54

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例二 55

AP AP AP Switch POE Switch Switch AP AP POE Switch 校內資安設備建置範例三 56

對於國中小 高中職的 建議方案 57

AP AP AP Switch POE Switch Switch AP AP POE Switch SDN IPS 58

AP AP AP Switch POE Switch SDN AP AP POE Switch IPS 59

FaceBook 和 Youtube 送進去 IPS 的量 01/22 18:50 濾掉 80.63 Mbps, 約總流量的 94.14% 02/01 15:05 濾掉 152.58 Mbps, 約總流量的 94.18% 180 160 140 120 100 80 Mon Jan 22 18:50:01 80.63 Mbps 94.14% Thu Feb 1 15:05:01 152.58Mbps 94.18% 60 40 20 0 60

180 160 Mon Jan 22 18:50:01 80.63 Mbps 94.14% Thu Feb 1 15:05:01 152.58Mbps 94.18% 140 120 100 80 60 40 20 0 61

IP address 黑名單 IP address 黑名單是普遍的作法 Gateway IPS 透過 SDN Device 過濾異常黑名單 降低 Router 和 IPS 的 Loading 增加設定筆數 62

Domain name 過濾 過去 透過 IP address 黑名單降低資安風險 現在 駭客使用 Domain name 可以不斷變更 IP address 在 SDN Device 上設定阻擋已知異常 Domain name 可有效抑制更換 IP address 的攻擊行為 63

Netflow 1:1 紀錄 透過 Free Netflow Analyzer 收集資料 完成 1: 1 netflow 轉換 詳細記錄資訊 64

南投區網中心建置 65

校園測試型號 66

感謝 ithome 教育部中央研究院科技部國家實驗研究院國立暨南國際大學南投區網中心 給予指導與協助 67

感謝 瑞擎數位股份有限公司辰亞科技股份有限公司殷諾科技股份有限公司 技術支援 68

繼續不斷嘗試不同做法 Q&A 問題討論 69