Das Netzwerk der WU Struktur, Komponenten und Dienste nagl@wu.ac.at IT Services Wirtschaftsuniversität Wien 2012-12-14
Inhalt 1 2 3 4 5 6 7 8
Eckdaten des Anzahl der Anschlüsse - 6.000 Gebäude: UZA1, 2, 3, 4, H46, Kolpinghaus Anzahl der Devices - 80 Access Points - 160 Art der Links zwischen den Devices Art der Devices Art der Räume - MR, SR, VR
Mitarbeiter Leiter Peter Mika Gerald Bacher Peter Brachtl Stefan Jester Joachim Langitz Alfred Muhm We, the unexperienced, led by the unknowing, are doing the impossible for the ungrateful.
Struktur und Redundanz physisch (Kapsch Diagramm Seite 1) logisch (Kapsch Diagramm Seite 2) detail (Kapsch Diagramm Seite 3) Any sufficiently advanced technology is indistinguishable from magic. - Arthur C. Clarke
Dienste Internet (Dual Stack - IPv4 und IPv6) Firewall IDS DHCP DNS Radius Wireless Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Komponenten nach HW und SW IOS (Cisco) ASR1002, 650x, 450x, 4948 bind, dhcp (ISC - Internet Systems Consortium) Barracuda [Phion] (Secudos), JunOS freeradius (auf freebsd), postgres Software FreeBSD, Debian, Ubuntu, Windows HP DL 380 Gx Virtualisierung (Logs, Statistik, etc.) auf VMware Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Border Router Internet Bandbreite ACOnet, 180Mbit, (10Gbit physisch) (ACOnet intern 10Gbit) GEANT - 10Gbit - NREN Upstream (2Gbit) zu Level3 Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Äußere Firewall - Barracuda [Phion] Arbeiten im Tandem Primary / Secondary Funktionsvielfalt Linux Kernel HW Secudos PIX als IPv6 Firewall Barracuda [Phion] als IPv6 Firewall seit 2012/08 Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
IDS/IPS Juniper Intrusion Detection / Prevention transparent (Vorstellungshilfe: Kabel) im Moment nur Detection Linux Kernel Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
VPN Server Cisco ASA eigene Appliance (HW+SW) Cisco AnyConnect Client SSLVPN VPNC unter Linux IPsec Tunnel (UDP, TCP) IPsec ESP Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Core Router und Intermediate Switches Core Router, UZA1 und UZA4 2x6509, VSS, verbunden 2x10Gbit, Portchannels Vlan Interfaces, etwa 60, abnehmend typischerweise Default Gateway in einem Servernetz (oder in einem noch nicht umgestellten Client-Netz) *Strukturierung* des Netzes (Departments bzw Institute) Intermediate Switches, sw-a, sw-b 2x6506, VSS, UZA1, verbunden mit 2x10GB 2x6506, VSS, UZA4, verbunden mit 2x10GB Uplinks 2x10 Gbit, Portchannel Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
WISM WISM - Wireless Services Module Einschub in 650x, verwaltet die Access-Points WCS - verwaltet Konfiguration und Clients, inzwischen abgelöst durch NCS Cisco Prime Infrastructure Wireless User kommt ins gleiche Vlan wie Wired User Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
ASA ASA - eigenständige Box, via 2x10Gb an 650x Failover zwischen 2 Boxen Vlan Interfaces, etwa 60, zunehmend typischerweise Default Gateway in einem Client Netz Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
End-User Switches, MR-Switches, SR-Switches 4506, ein Supervisor Einschübe zu 48 Ports - maximal 240 Ports, zu 100 Mbit, teilweise PoE (Gigabit abhängig von Verkabelung) Uplinks 2x1GB, Portchannel 4948 48 Ports für mehrere Racks Uplinks 2x1GB, Portchannels Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Nameserver und DHCP-Server bind, unterschiedliche Releases externe NS, nicht rekursiv, anycast interne NS, rekursiv, anycast Backend dhcp 3.1 - primary, secondary Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Telefonie Philips (PKE) Fax Server (und VoiceBox) - Topcall VoIP Philips, Apparate Polycom, SIP (Session Initiation Protocol) VoIP Cisco, SIP, SCCP (Skinny) (Skinny Call Control Protocol) Gateway, Call Manager, etc. Telepresence Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Logische Struktur des Vlans - ASA - Telefonie VLAN = Abteilung bzw. Institut flaches Netz - Layer 2 - jede Dose in beliebiges VLAN Vorteil: unabhängig von Raumvergabe Nachteil: Layer 2 über das ganze Netz Exkurs: Trunking Dot1Q (cisco ISL) Data und Voice Vlan Komponenten nach HW und SW Border Router Äußere Firewall - Barracuda (Phion) IDS/IPS Juniper VPN Server Core Router und Intermediate Switches WISM ASA End-User Switches, MR-Switches, SR-Switches Nameserver und DHCP-Server Telefonie Logische Struktur des
Sicherheit Layer-3 Partitionierung durch ASA Firewall Rules einige Server-Netze unterschiedliche Client-Netze typischerweise Institut/Department, meist 137.208.x.0/24 IPv6 ebenso wie IPv4 (Dual Stack) 2001:628:404::x/64 Gerät kommt ans - Kabel bzw. Wireless
Gerät kommt ans im Institutsbereich DHCP - DNS Eintrag etc. DHCP discover / offer DHCP request / ack DNS Eintrag, nach 1 Stunde für 25 Stunden alle 25 Stunden wiederholt, im Wireless öfter SSID wu (vormals wu-dot1x), Authentication via Radius SSID wu-conference, Authentication via Bluesocket VPN in Selbststudienzone / Hörsaal, Authentication via Bluesocket Gerät kommt ans - Kabel bzw. Wireless
Kontrolle und Werkzeuge dazu internet traffic monitoring (MRTG) intermediate trunks (MRTG) icinga (Status der Komponenten) nmis (einzelne Ports) netdisco (Mac Adressen etc.) IP flows (nfsen, iflow) Phishing DNS Spoofing Kontakt We have to learn to manage information and its flow. If we don t, it will all end up in turbulence. Grace Hopper
Bedrohungsszenarien Phishing DNS spoofing BotnetzTeilnehmer DOS (IRC) SSH Brute Force Viren, AdWare, PHPbb SpyWare (auffinden durch Spybot Search and Destroy) SpamBots (SMTP outgoing, jetzt gesperrt) Phishing DNS Spoofing Kontakt There are a lot of dumb people with powerful tools. - Jonah Seiger, former EFF Program Coordinator, 1994
Phishing To all email users, Microsoft launched a new email service for our webmail not a redesigned version of Hotmail, but a completely new, built-from-the-ground-up service... will be activated immediately you complete the Questionnaire information from Message Center by clicking on the link below: https://docs.google.com/spreadsheet/... Thank you. Help Desk (@)2012.All Rights Reserved Phishing DNS Spoofing Kontakt
DNS Spoofing Kaminsky - 2008, August prinzipielles Problem (Ports) prinzipielle Lösung - DNSSEC signierte Antwort vom Nameserver, durch die ganze rekursive Kette durch Zwischenlösung mit DLV (DNSSEC Look-aside Validation) Phishing DNS Spoofing Kontakt
Kontakt Mißbrauch Copyright Notice problematischer Jailbreak (Schadsoftware) Botnetzteilnehmer Spamsource Phishing DNS Spoofing Kontakt
Projekte Umzug (Mitte März) ip address verifying Authentisierung am Kabel flows / graphische Darstellung The reasonable man adapts himself to the world; the unreasonable one persists in trying to adapt the world to himself. Therefore all progress depends on the unreasonable man. George Bernard Shaw Umzug ip address verifying Zukunft
Umzug Mitte März erste Installation Layer 2 Verbindung WU alt - WU neu Redundanz des Layer 2 ab Mai Übersiedlung unter Ausnutzung der Redundanz im bestehenden Netz Umzug ip address verifying Zukunft
ip address verifying *stabile* identität *man in the middle* zuverlässing verhindern (und einiges sonst noch) Umzug ip address verifying Zukunft
Zukunft wieviel Überwachung ist notwendig? was ist zuviel Überwachung? Wireless - eine Erfolgsgeschichte mobile Phone - hat jeder Networking is the Vietnam of computing. Something can nuke you from behind, and it s gone when you turn around. It s impossible to win a guerilla war against a highly distributed enemy. - Mike Smith. Umzug ip address verifying Zukunft
2010 WS 6342 unterschiedliche Wireless User im November 8267 unterschiedliche Wireless Clients im November 5189 unterschiedliche Wireless User im Dezember 6654 unterschiedliche Wireless Clients im Dezember über 1000 Clients gleichzeitig 3992 unterschiedliche Clients am 11. Jänner (Kabel und Wireless) davon 438 mit *iphone* im Namen, 66 mit *android* davon 2183 Studenten im Wireless davon 276 mit *iphone* im Namen, 39 mit *android*
2011 SS 6437 unterschiedliche Wireless User im April/Mai 8664 unterschiedliche Wireless Clients im April/Mai über 1000 Clients gleichzeitig 4118 unterschiedliche Clients am 2011-05-10 (Kabel und Wireless) davon 440 mit *iphone* im Namen, 109 mit *android* davon 2281 Studenten im Wireless davon 297 mit *iphone* im Namen, 70 mit *android*
2011 WS 8195 unterschiedliche Wireless User 2011-10/11 11939 unterschiedliche Wireless Clients 2011-10/11 über 1296 Clients gleichzeitig 5434 unterschiedliche Clients am 2011-11-15 (Kabel und Wireless) davon 472 mit *iphone*, 187 mit *android*, 62 mit *ipad*, 46 mit *ipod*, 10 mit *pad*, 43 mit *blackberry* im Namen davon 3140 Studenten im Wireless davon 282 mit *iphone*, 107 mit *android*, 48 mit *ipad*, 17 mit *ipod*, 6 mit *pad*, 12 mit *blackberry* im Namen
2012 SS 7211 unterschiedliche Wireless User 2012-05/06 10423 unterschiedliche Wireless Clients 2012-05/06 über 1434 Clients gleichzeitig 5287 unterschiedliche Clients am 2012-05-15 (Kabel und Wireless) davon 383 mit *iphone*, 221 mit *android*, 65 mit *ipad*, 24 mit *ipod*, 12 mit *pad*, 28 mit *blackberry* im Namen davon 2946 Studenten im Wireless davon 292 mit *iphone*, 176 mit *android*, 54 mit *ipad*, 19 mit *ipod*, 9 mit *pad*, 11 mit *blackberry* im Namen
2012 WS 7136 unterschiedliche Wireless User 2012-10/11 10776 unterschiedliche Wireless Clients 2012-10/11 über 1800 Clients gleichzeitig 5451 unterschiedliche Clients am 2012-11-20 (Kabel und Wireless) davon 432 mit *iphone*, 333 mit *android*, 124 mit *ipad*, 19 mit *ipod*, 131 mit *pad*, 28 mit *blackberry* im Namen davon 3461 Studenten im Wireless davon 361 mit *iphone*, 270 mit *android*, 115 mit *ipad*, 12 mit *ipod*, 120 mit *pad*, 13 mit *blackberry* im Namen
11.200 Anschlüsse, 6.300 aktiv 28 Etagenverteiler, 9 Slots zu 48x Gigabit, PoE Upstream 2x10Gbit zu zwei unterschiedlichen HV catalyst 4510R+E, sup7 3x2 Hausverteiler, x10gbit zu Etagenverteilern Upstream 10Gbit (40Gbit?) zu beiden ZV 2xcatalyst 4500-X, VSS 2 Zentralverteiler 2x catalyst 650x + sup2t, VSS 5 Datacenter, verschiedene Funktionen angebunden an beide ZV nexus 5596 bzw. 5010 mit nexus 2000 600 Accesspoints
Hardwarebeispiele(1a) Cat4510, SUP 7 Cisco IOS-XE software, Copyright (c) 2005-2010 by cisco Systems, Inc. All rights reserved. Certain components of Cisco IOS-XE software are licensed under the GNU General Public License ( GPL ) Version 2.0. The software code licensed under GPL Version 2.0 is free software that comes with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such GPL code under the terms of GPL Version 2.0. For more details, see the documentation or License Noticefile accompanying the IOS-XE software, or the applicable URL provided on the flyer accompanying the IOS-XE software.
Hardwarebeispiele(1b) Cat4510, SUP 7 PID Runtime(ms) Invoked usecs Stacks Process 1 909 834 109063 88/8192 init 2 0 83 10602 0/8192 kthreadd 4 14 1097 13331 0/8192 ksoftirqd 357 73 433 169976 88/8192 udevd 9955 572696 247429175 5 88/8192 iosd 2208 85 630 135639 88/8192 dbus-daemon 2544 0 426 2194 88/8192 portmap 2593 1 444 2445 88/8192 sshd
Hardwarebeispiele(2a) Nexus 5000 Cisco Nexus Operating System (NX-OS) Software TAC support: http://www.cisco.com/tac Copyright (c) 2002-2010, Cisco Systems, Inc. All rights reserved. The copyrights to certain works contained herein are owned by other third parties and are used and distributed under license. Some parts of this software are covered under the GNU Public License. A copy of the license is available at http://www.gnu.org/licenses/gpl.html.
Hardwarebeispiele(2b) Nexus 5000 PID State PC Start TTY Process 1 S b7f9e468 1 - init 2 S 0 1 - ksoftirqd 10 S 0 1 - kthread 18 S 0 1 - kacpid 2646 S b7f8718e 1 - portmap 2655 S 0 1 - nfsd 2669 S b7f89468 1 - rpc.mountd 2675 S b7f89468 1 - rpc.statd 3513 S 0 1 - insmod 3911 S b7f4b468 1 - xinetd 3912 S b7f89468 1 - tftpd 3964 S b7f89468 1 - cisco 4242 S b7f976be 1 - klogd 4264 S b7dd1468 1 - httpd 4415 S b7f946be 1 S0 getty
Hardwarebeispiele(3a) cisco ASR1002 Cisco IOS-XE software, Copyright (c) 2005-2011 by cisco Systems, Inc. All rights reserved. Certain components of Cisco IOS-XE software are licensed under the GNU General Public License ( GPL ) Version 2.0. The software code licensed under GPL Version 2.0 is free software that comes with ABSOLUTELY NO WARRANTY. You can redistribute and/or modify such GPL code under the terms of GPL Version 2.0. For more details, see the documentation or License Noticefile accompanying the IOS-XE software, or the applicable URL provided on the flyer accompanying the IOS-XE software.
Hardwarebeispiele(3b) cisco ASR1002 cisco ASR1002 (2RU) processor with 1700144K/6147K bytes of memory. 4 Gigabit Ethernet interfaces 3 Ten Gigabit Ethernet interfaces 32768K bytes of non-volatile configuration memory. 4194304K bytes of physical memory. 7798783K bytes of eusb flash at bootflash:.
1 2 3 4 5 6 7 8 90% of networking is politics. - Vernon Schryver
Fragen, Diskussion Fragen, Diskussion Knowledge itself is power. - Francis Bacon (1561-1626)
ns1 show ip route 137.208.10.10 Routing entry for 137.208.10.10/32 Known via ospf 1776, distance 110, metric 3, type intra area Last update from 137.208.10.151 on Vlan10, 2w6d ago Routing Descriptor Blocks: 137.208.20.152, from 137.208.20.152, 2w6d ago, via Vlan20 Route metric is 3, traffic share count is 1 * 137.208.10.151, from 137.208.10.151, 2w6d ago, via Vlan10 Route metric is 3, traffic share count is 1 Fragen, Diskussion
ns2 show ip route 137.208.20.10 Routing entry for 137.208.20.10/32 Known via ospf 1776, distance 110, metric 3, type intra area Last update from 137.208.10.151 on Vlan10, 2w6d ago Routing Descriptor Blocks: * 137.208.20.152, from 137.208.20.152, 2w6d ago, via Vlan20 Route metric is 3, traffic share count is 1 137.208.10.151, from 137.208.10.151, 2w6d ago, via Vlan10 Route metric is 3, traffic share count is 1 Fragen, Diskussion
ns5 show ip route 137.208.10.20 Routing entry for 137.208.10.20/32 Known via ospf 1776, distance 110, metric 3, type intra area Last update from 137.208.10.155 on Vlan10, 2w6d ago Routing Descriptor Blocks: 137.208.20.156, from 137.208.20.156, 2w6d ago, via Vlan20 Route metric is 3, traffic share count is 1 * 137.208.10.155, from 137.208.10.155, 2w6d ago, via Vlan10 Route metric is 3, traffic share count is 1 Fragen, Diskussion
ns6 show ip route 137.208.20.30 Routing entry for 137.208.20.30/32 Known via ospf 1776, distance 110, metric 3, type intra area Last update from 137.208.10.155 on Vlan10, 2w6d ago Routing Descriptor Blocks: 137.208.20.156, from 137.208.20.156, 2w6d ago, via Vlan20 Route metric is 3, traffic share count is 1 * 137.208.10.155, from 137.208.10.155, 2w6d ago, via Vlan10 Route metric is 3, traffic share count is 1 Fragen, Diskussion
pecuchet pecuchet:nagl:9 dig HOSTNAME.BIND CHAOS TXT +short @137.208.10.10 nsx2z1 pecuchet:nagl:10 dig HOSTNAME.BIND CHAOS TXT +short @137.208.20.10 nsx2z2 pecuchet:nagl:11 dig HOSTNAME.BIND CHAOS TXT +short @137.208.10.20 nsx3z3 pecuchet:nagl:12 dig HOSTNAME.BIND CHAOS TXT +short @137.208.20.30 nsx4z4 Fragen, Diskussion
core router sh mls cef exact-route 137.208.3.70 137.208.10.10 Interface: Vl20, Next Hop: 137.208.20.152, Vlan: 20, Destination Mac: 0021.5ad1.412a sh mls cef exact-route 137.208.3.70 137.208.20.10 Interface: Vl20, Next Hop: 137.208.20.152, Vlan: 20, Destination Mac: 0021.5ad1.412a sh mls cef exact-route 137.208.3.70 137.208.10.20 Interface: Vl10, Next Hop: 137.208.10.155, Vlan: 10, Destination Mac: 0021.5ad1.0d08 sh mls cef exact-route 137.208.3.70 137.208.20.30 Interface: Vl20, Next Hop: 137.208.20.156, Vlan: 20, Destination Mac: 001e.0bda.53ce Fragen, Diskussion