1. Bezpieczeństwo usług
a
zasoby sprzętowe platformy dostępowej
Ryszard Czernecki
Kraków, 23 października 2012

2. Agenda
• Informacja o firmie Akademii PON i jej partnerach
• Bezpieczeństwo usług
• Zasoby procesora
• Przykłady
• Podsumowanie

3. Akademia PON
 Spotkania prowadzone przez specjalistów, w trakcie których
uczestnicy poznają zagadnienia związane z projektowaniem,
budową, i utrzymaniem szerokopasmowych sieci optycznych
 Promocja usług możliwych do świadczenia w sieciach
szerokopasmowych, pozwalających przedsiębiorcom na bardziej
efektywne wykorzystanie ich potencjału i maksymalizację
przychodów
 Podstawowym celem Akademii jest popularyzacja
rozwiązań FTTH oraz PON w Polsce oraz wsparcie
przedsiębiorców i samorządowców w realizacji projektów
budowy i utrzymania sieci szerokopasmowych.

4. Akademia PON powstała w ramach współpracy Fundacji Wspierania Edukacji
Informatycznej PROIDEA i firmy Solutions for Technology.
 Fundacja Wspierania Edukacji Informatycznej "PROIDEA" jest niezależną,
samofinansującą się organizacją typu non-profit. Zespół profesjonalistów oraz
osób czynnych zawodowo z różnych dziedzin informatyki i telekomunikacji,
którzy tworzą Fundację umożliwia zdobywanie wiedzy i umiejętności
praktycznych poprzez: ogólnopolskie konferencje (np. PLNOG), szkolenia i
warsztaty oraz obozy informatyczne.
 S4Tech jest działającym od 10 lat na polskim rynku telekomunikacyjnym
dostawcą oraz integratorem systemów telekomunikacyjnych, który zapewnia
swoim klientom pełny zakres usług i rozwiązań, od planowania i projektowania
sieci poprzez dostawę, instalację i konfigurację systemów aż do utrzymania i
serwisu gwarancyjnego oraz pogwarancyjnego. Oferuje przygotowane pod
względem technicznym i funkcjonalnym dodatkowe usługi zarządzane z zakresu
HAN/OAN oraz IP CCTV. S4Tech jest liderem w zakresie rozwiązań PON na
rynku polskim.
Akademia PON

5. Bezpieczeństwo usług
FTTH
FTTO
+ SBU support
ISDN/DDN/E1
Mobile
Backhaul
Base station access
WLAN
FTTN/C
+ MSAN
+ DSLAM
FTTB/F
Telecom Internet TV
+ LAN
+ xDSL
+ EoC
Communication Entertainment
Security Intelligent Home
Convergent
Bearing
+ LAN
+ POTS
+ RF
+ USB
+ WiFi
Im bardziej
zaawansowane usługi,
tym większe wymagania.

6. Bezpieczeństwo usług
Platforma dostępowa PON

7. W jaki sposób można zdefiniować zagadnienie
zapewnienia bezpieczeństwa usług?
Zapewnienie bezpieczeństwa usług
to zapewnienie prawidłowej i niezakłóconej realizacji usług,
nie tylko z punktu widzenia parametrów SLA dla ruchu usługowego
(jak przepustowość, opóźnienie),
ale również z punktu widzenia ruchu kontrolnego.
Bezpieczeństwo usług

8. Bezpieczeństwo usług
Przykład realizacji usług TPS

9. Przykłady typowego ruchu kontrolnego w dostępowej sieci
usługowej:
ARP ruch konieczny aby umożliwić komunikację IP
w domenie rozgłoszeniowej,
DHCP dynamiczne przydzielanie adresów IP,
IGMP ruch kontrolny grup multicastowych,
PPPoE konieczny dla komunikacji ppp,
inne jak STP, agregujące, routingu itd.
Bezpieczeństwo usług

10. Dlaczego prawidłowe przesyłanie ruchu kontrolnego
jest takie ważne?
Gdy ruch kontrolny nie odbywa się prawidłowo, realizacja usług
jest zaburzona.
ARP VoIP, bootowanie STB, VoD itp., Internet
DHCP VoIP, bootowanie STB, VoD itp., Internet
PPPoE Internet
IGMP IPTV
itd.
Bezpieczeństwo usług

11. Co może negatywnie wpłynąć na obsługę ruchu kontrolnego?
Brak dostępnych zasobów procesora.
Ruch kontrolny obsługiwany przez CPU
nie odbywa się prawidłowo.
Usługi nie działają prawidłowo.
Bezpieczeństwo usług

12. Czy można wyczerpać zasoby procesora?
TAK*
*W szczegółach, zależy od tego jak przygotowana jest platforma
i jej oprogramowanie.
Zasoby procesora

13. W jaki sposób można wyczerpać zasoby procesora?
„Atak na procesor”
- destabilizacja pojedynczego mechanizmu i negatywny wpływ na
jedną lub więcej usług,
- destabilizacja wszystkich mechanizmów opartych o CPU, a co za
tym idzie wszystkich usług, poprzez wyczerpanie zasobów
procesora.
Zjawiska w sieci, które mogą wyczerpać zasoby procesora,
a które można wyeliminować przez poprawę konfiguracji urządzeń
w sieci.
Zasoby procesora

14. Jak zwykle procesor obsługuje ruch kontrolny?
Ruch kierowany do CPU jest przez port wewnętrzny, na którym obsługiwanych
jest kilka kolejek z priorytetem (np. 4 lub 8).
Priorytetyzacja ruchu z użyciem kolejek jednak często nie wystarczy, ponieważ
port fizyczny ma zwykle większą przepustowość w przeliczeniu na pps niż
procesor jest ich w stanie obsłużyć.
Wykorzystanie zasobów procesora przez dany mechanizm, zależy od liczby i
złożoności zadań realizowanych przez dany mechanizm (czasu procesowania),
jak również od wielkości i liczby pakietów kontrolnych (wykorzystania rozmiaru
kolejki/bufora).
Zasoby procesora

15. Zasoby procesoraIIGMP
INGRESS
IGMP
snoop and
IGMP
packet?
Classifier
ARP snoop
and ARP
packet?
DHCP
snoop and
DHCP
packet?
BPDU
packet?
ARP
BOOTP
IGMP
SNOOP
B U F O R
BPDU
STP
DHCP
SNOOP
Marker
Policer
Queue
Scheduler
EGRESS
q7
q6
q5
q4
q3
q2
q1
q0
ARP
SNOOP
IGMP
packets
rate-limit to
2000pps
Buffer Manager
Permit
Deny
Rate-limit
WRED
Queue
Scheduler
q7
q6
q5
q4
q3
q2
q1
q0
CPU

16. Jak zapobiec wyczerpaniu zasobów procesora przez
pojedynczy proces?
Skierować ruch do wybranej kolejki i zlimitować ją.
Jeśli to możliwe zlimitować ruch w innym punkcie sieci.
Poprawić konfigurację urządzeń sieciowych.
To pozwoli na prawidłową obsługę pakietów kontrolnych, obsługiwanych przez
inne procesy.
Zasoby procesora

17. Ataki
Podstawowy atak to "ARP spoofing" lub "ARP poisoning" -
fałszowanie wpisów w tablicy arp, ogólnie mówiąc nie jest atakiem
na procesor platformy dostępowej.
Jednak może być:
Broadcast (unicast) arp może wyczerpać zasoby procesora jeśli w
vlanie usługowym skonfigurowano interfejs IP,
lub
dla lepszej kontroli pakietów arp użyto mechanizmu opartego o
CPU, jak arp snooping.
.
Przykład w oparciu o ARP

18. Zabezpieczenia przed atakami ARP:
Blokada komunikacji w warstwie 2 między użytkownikami (izolacja portów,
izolacja userów na porcie PON) – atak MITM
Limitacja adresów MAC na porcie ONT – atak ARP flooding
Broadcast-strom-control na OLT i ONT – atak DoS na procesor
Dynamic ARP Inspection (DAI) lub ARP snooping (oparte
o CPU na OLT).
Mechanizm MAC flooding – jeśli liczba pakietów IP i/lub arp na sekundę z
danego adresu MAC przekroczy zdefiniowany próg, ruch od tego adresu MAC
jest blokowany na zdefiniowany okres.
.
Przykład w oparciu o ARP

19. Zadania ARP SNOOPING mogą być rozmaite:
utrzymanie dynamicznej tablicy wpisów ARP
filtracja pakietów ARP w wyniku inspekcji źródłowego adresu MAC w nagłówku Ethernet i
ARP (aby uniknąć pakietów zmodyfikowanych w celu ataku)
filtracja pakietów ARP w oparciu o tablicę np. DHCP snoop – aby umożliwić wymianę
ARP jedynie hostom, które poprawnie otrzymały adres IP z serwera DHCP
redukcja liczby rozsyłanych pakietów ARP
- może odpowiadać na zapytania ARP jeśli posiada już odpowiedni wpis w tablicy
- wysyłać pakiety jedynie na port docelowy zgodnie z informacją zawartą w tablicy
- zmieniać pakiet broadcastowy na unicastowy
- i inne np. filtrowanie zapytań o adresy zarezerwowane: multicast, broadcast, 0.0.0.0 itp.
Przykład w oparciu o ARP

20. Ataki
Fałszywy router multicastowy, aby zakłócić ruch kontrolny –
może być swojego rodzaju atakiem na CPU, gdy rozsyła stale MQ
lub GQ.
Atak IGMP flooding w celu zapełnienia tablicy grup
multicastowych lub przeciążenia procesora (DoS).
Przykład w oparciu o IGMP

21. Zabezpieczenia przed atakami:
limitacja liczby grup multicastowych per abonent – ONT,
limitacja MAC adresów na port – ONT,
limitacja pakietów IGMP/sek. – ONT,
filtracja niepożądanych pakietów IGMP na portach abonenckich,
konfiguracja igmp snoop w trybie proxy + fast leave + explicit host tracking.
Przykład w oparciu o IGMP

22. Jak się zabezpieczyć przed wyczerpaniem zasobów CPU?
- limitacja kolejek do CPU,
- limitacja ruchu kontrolnego generowanego przez abonenta:
- na urządzeniu abonenckim,
- na urządzeniu sieciowym przed OLT,
- filtracja niepożądanego ruchu,
- wykorzystywanie szczegółowych parametrów mechanizmów
bezpieczeństwa.
Podsumowanie

23. Dziękuję za uwagę
www.akademia-pon.eu