Transcript Internetprotokollien pääsynvalvonta verkkolaitteissa

Internetprotokollien pääsynvalvonta
verkkolaitteissa
Teemu Heino
Työn valvoja: Professori Raimo Kantola
Työn suorituspaikka: Elisa Internet Oy
Esityksen sisältö
• Motivaatio – miksi työ on tehty
• Suoritustapa – mitä työssä on tehty ja miten
• Tulokset ja johtopäätökset – Mitä työssä selvisi ja millaisia
johtopäätöksiä työn perusteella voidaan tehdä
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Miksi?
• Työn tarkoituksena oli selvittää, voidaanko palvelinverkkojen
pääsynvalvontaa tehokkaasti hoitaa ilman dedikoituja
palomuureja.
• Työn motivaationa oli yhtäältä saada materiaalia asiakkaille
ja jälleenmyyjille, jotka vaativat omiin järjestelmiinsä
”turhia” palomuurilaitteita ja toisaalta tuottaa kelvollista
koulutusmateriaalia Elisa Internetin sellaiselle henkilöstölle,
jolle tämän tyyppinen tieto on tarpeellista.
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Miten (1 / 2)?
• Aluksi hankittiin tietoa ja käyttökokemusta työssä
käytettävistä verkkolaitteista ilman sen suurempaa
suunnitelmallisuutta.
• Rakennettiin muutama yksinkertainen verkkomalli laitteiden
pääsynvalvontaominaisuuksien testaamiseksi ja
demonstroitiin SSH-yhteyden kaappaamiseen perustuva
tietomurto.
• Tehtiin yksinkertaisia palvelunestohyökkäyksiä kytkimiä ja
niiden suojaamia palvelimia vastaan ja esitettiin
hyökkäyksiin soveltuvia suojautumismalleja.
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Miten (2 / 2)?
• Mitattiin laitteiden suorituskykyä kahteen Debian/GNU
Linuxiin asennetulla Netperf-ohjelmistolla. Ohjelmistolla
saadaan mitattua yhteyden välityskyky (bittejä/s) ja
pakettien kiertoajat.
• Testattiin pääsyehtojen pitävyyttä suurilla kytkinkuormilla
• Nämä mittaukset suoritettiin kahdella kytkinlaitteella (Alteon
AD3 ja Extreme Summit 48si) sekä palomuurilla (Cisco PIX520).
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Tulokset
• Kytkinten pääsynvalvonnan todettiin toimivan ja pitävän
luotettavasti.
• Kytkinten suorituskyky pääsynvalvontaa toteuttaessa
todettiin riittävän hyväksi, Summit 48si:llä jopa todella
hyväksi.
• Verkon kustannuksien todettiin useimmiten jäävän
alhaisemmaksi toteutettaessa pääsynvalvonta ilman erillisiä
palomuureja. (Poikkeuksia varmasti on.)
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Johtopäätökset
• Todettiin, että palvelinverkkojen pääsynvalvonta voidaan
useimmiten riittävän tehokkaasti hoitaa esimerkiksi
kytkimien pääsynvalvontaominaisuuksia hyväksikäyttäen,
ilman erillisiä palomuurilaitteita.
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Laitteiden läpäisykyvyt (vähäisillä vuomäärillä)
Läpäisykyky (Mbit /s)
Alteon AD3
Cisco PIX-520
Summit 48si
100
95
90
85
80
75
70
1
10
60 120
1
10
60 120
1
10
Suodatusehtojen lukumäärä
32767 tavua
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
1448 tavua
524 tavua
60 120
AD3:n Läpäisykyky (suurilla vuomäärillä)
100
90
Läpäisykyky (Mbit / s)
80
70
60
50
32767 tavua
40
1448 tavua
30
524 tavua
20
10
10
0
11
0
12
0
90
80
70
60
50
40
30
20
10
1
0
0
Suodatusehtojen lukumäärä
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Testijärjestelmien kiertoaika
0,4
Kiertoaika (ms)
0,35
0,3
0,25
AD3
0,2
PIX-520
0,15
Summit 48si
0,1
0,05
12
0
90
60
30
1
0
FI
LT
O
FF
0
Suodattimien lukumäärä
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Kuormitustestin kytkentä
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Kytkentä pv-ominaisuuksien testaamiseksi
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa
Kytkentä tietomurtoesimerkissä
Teemu Heino - Internetprotokollien
pääsynvalvonta verkkolaitteissa