Spanning TreeNetwork ManagementSäkerhet

Jens A Andersson

2

Publika telenätet

Trunknät

Accessnät

lokalstation

Analogt

Analogt

Digitalt

3

Trunknätet

F1 F2

Riktnummerområde= Lokalstation

Förmedlingsstationer

Internationell station Gateway till mobila nät

Internetaccess

A B

= Alternativväg

4

LokalstationenLokalstation

Linjekretsar

Kopplingsdel

Styrdel

Abonnenter

5

Linjekretsen

balansledning mot abonnent tal i ena riktningen

tal i andra riktningen

A/D omvandling

D/A omvandling

8000 talsampelper sekund

Varje sampelbestår av 8 bitar

6

Kopplingsdelen

koncentrator gruppväljare(switch)

7

Systemarkitektur

Kopplingsdel

Processor

Multiprocessorsystem

Kopplingsdel

RP RP RP RP

Centralprocessor

Hierarkiskt system

Regional-Processor

8

Mobila telenät, generell uppbyggnad

Kärnnät

Accessnät

9

Vad händer när MT rör sig?

HandoverFörflyttning mellan cellerByte av basstation

RoamingFörflyttning mellan operatörer/länderByte av hela “strukturen”

Spanning Tree

•Att bygga träd av grafer som kan se ut hur som helst•Hindra paket att gå runt i oändliga loopar•Bygga effektiva transportvägar•Spanning Tree används i många applikationer och protokoll

10

11

Spanning Tree Protocol, Varför?

En brygga använder flooding för utsändning av allabroadcast-ramarmulticast-ramar alla ramar vars destinationsport är okänd

Inga loopar får förekomma i ett bryggat nätRedundans/backup-länkar medför loopar

12

Spanning Tree Protocol, exempel(1)

brygga brygga

13

brygga brygga

Spanning Tree Protocol, exempel(2)

14

STP: Algoryhme

I think that I shall never seeA graph more lovely than a tree

A tree whose crucial propertyIs loop-free connectivity

A tree which must be sure to spanSo packets can reach every LAN

First the Root must be selectedBy its ID it is elected

Least cost paths from Root are traced.In the tree these paths are placed

A mesh is made by folks like meThen bridges find a spanning tree.

15

Spanning Tree Protocol (1)

16

Spanning Tree Protocol (2)

17

18

Nättjänster

DNS (drift, delegeringar)central mail-service

utgående mail (SMTP-server) inkommande mail (mailboxes, tjänster för hämtning)

IP-adresstilldelningmanuellt (adressallokering)DHCP, bootp (service)

19

Kontakter med omvärlden

postmaster@<domain>KRAV!mejlrelaterade frågor

hostmaster@<domain> ansvarig för DNS

abuse@<domain> för rapporter om missbruk mm

20

Övervakning och Alarm

21

SNMP

GET requestGET responseSET requestTRAP

MIBManagement Information Base

22

Felsökning”Att mäta är att veta”ping

icmp echo

tracerouteavlyssning (sniffning)loggar

23

ICMP

Hjälpprotokoll till IPMeddelanden

Felmeddelanden Host unreachable Net unreachable TTL expired

Förfrågningar Echo request

24

ping = icmp echo

25

traceroute

26

nslookup/host

27

”sniff”

28

Datasäkerhet?

skydd av fysisk dator- och nätutrustningskydd av dataskydd av tillgänglighet till datasystem och applikationer

29

Skydd mot vad?

skydd av fysisk dator- och nätutrustning stöldbrand åverkan förstörelse

30

Skydd mot vad?

skydd av data tillgång

är e-post säkert?

manipulering förstörelse

31

Skydd mot vad?

skydd av tillgänglighet till datasystem och applikationerDenial of Service-attacker (Dos)otillåtet utnyttjade av CPU-kraftotillåtet utnyttjande av minnesutrymme

32

Skydd mot vad?

Fientlig/skadlig programvara (virus, trojan, mask mm)

Intrång (tillgrepp av resurser)

Denial of ServiceSPAM

33

Hur skydda dator/data?

skaffa säkerhetspolicyanvänd denfölj upp den

Tänk efter vad som kan hända och motverka det!

34

Hur skydda dator/data?

skydd av fysisk dator- och nätutrustning inlåsning rök-/brandsäkert (hindra spridning av rök och eld) rök-/brandsäkert (automatisk släckning) lämplig driftmiljö (värme, fukt)

35

Hur skydda dator/data?

skydd av datakrypteringbackup (flera ställen/flera generationer)göra data otillgängligtbehörighetskontrollsystem (BKS)brandvägg antivirus-program

36

Hur skydda dator/data?

skydd av tillgänglighet till datasystem och applikationer redundansbegränsa tillgänglighet anti-virusprogram tillräckligt med hårdvaruresurser

37

Brandväggar

Packet filteringOSI-nivå 3 (adress-filter)

Circuit levelOSI-nivå 4 (jämför TCP-sessioner)

Application levelOSI-nivå 7 (måste känna till hur applikationen fungerar)

38

Kryptering

SymmetriskSamma hemliga nyckel vid kryptering och dekryptering

AsymmetriskÖppen publik nyckel; privat hemlig nyckel

NyckelhanteringVem verifierar nycklar?Vem tillhandahåller nycklar?

PGP / X.509

39

Autentisering

Säkerställ motpartenPåminner om krypteringAnvänd nycklar/certifikat för signering av data

Lösenord

• Bra lösenord:• Versaler• Gemener• Specialtecken (#,$,@,&,% …)• Siffror

• Möjliga att minnas (mening i bok, ngt på planch i rummet) men samtidigt inte gissningsbart (userid, namn på person i närheten, bilnummer)

• Lösenordsgeneratorer på nätet

40

41

SSL

Secure Sockets LayerSäker och autentiserad dataöverföring mellan webbklient och –serverhttpscertifikat

TransportSSL

Applikat.

TLS

• TLS = Transport Layer Security• Vidareutveckling av SSL• rfc 5246

42

43

IPsec

IETF rfc, standardTillägg till IPv4; ingår i IPv6Två moder

Transport mode Signera data genom att lägga till Ipsec-header

Tunnel mode Kryptera ip-paket; kapsla in i annat ip-paket mellan tunnelns

ändpunkter

Andra säkerhetprotokoll

• WEP• Wire Equivalent Privacy• Inte alls säkert

• WPA/WPA2• WiFi Protected Access• WPA2 = IEEE 802.11i

44

45

Hur skydda dator/data?

BACKUP. Ofta!Antivirusprogram. Uppdatera!Öppna ALDRIG attachments om du inte vet vad de innehåller.Gå endast till kända web-sidor. Följ inte kryptiska länkar.Personlig brandvägg!!!!Kryptera data.