La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CENTRE DE COMUNICACIONS AVANÇADES DE BANDA AMPLA SMAЯTxAC: Sistema de Monitorización y Análisis de ocifáЯT para la Anella Científica Pere Barlet Ros Josep.

Presentaciones similares


Presentación del tema: "CENTRE DE COMUNICACIONS AVANÇADES DE BANDA AMPLA SMAЯTxAC: Sistema de Monitorización y Análisis de ocifáЯT para la Anella Científica Pere Barlet Ros Josep."— Transcripción de la presentación:

1 CENTRE DE COMUNICACIONS AVANÇADES DE BANDA AMPLA SMAЯTxAC: Sistema de Monitorización y Análisis de ocifáЯT para la Anella Científica Pere Barlet Ros Josep Solé-Pareta Jordi Domingo-Pascual Mallorca, 5 de Noviembre de 2003 Jornadas Técnicas RedIRIS 2003 Agradecimientos: Este trabajo está financiado parcialmente por el CESCA (convenio SMAЯTxAC) y el MCyT (ref. TIC C04-02)

2 Índice Antecedentes CASTBA, MEHARI, MIRA Proyecto MIRA Prototipo CCABA-UPC Proyecto SMAЯTxAC

3 Antecedentes Diferentes proyectos de monitorización y análisis de tráfico en RedIRIS CASTBA MEHARI MIRA Colaboración entre diferentes universidades UPM UC3M UPC Participación como EPOs RedIRIS TID CESCA ICT

4 Proyecto MIRA Características Captura pasiva/no-intrusiva (utilizando splitters ópticos) Captura estadística (máximo 10% del tráfico real) Captura y análisis de todo el paquete (cabecera y contenido) Aplicado a RedIRIS (ATM) para conocer el uso de la red + detección de usos indebidos/irregulares Clasificación de el tráfico de cada CC.AA. en: –Académico (por defecto: presunción de inocencia) –Lúdico –Comercial –Desconocido Definición de un modelo para compartir costes (tarificación) –Origen y destino del tráfico –Clasificación (tipo) de tráfico

5 Índice Antecedentes Prototipo CCABA-UPC Objetivos Captura de tráfico Análisis de tráfico Escenario de prueba Ejemplo de clasificación Otras características Proyecto SMAЯTxAC

6 Prototipo CCABA-UPC Nuevo sistema de monitorización y análisis de tráfico Basado en la experiencia adquirida en los anteriores proyectos (especialmente MIRA) Cambio de plataforma de captura (software) Desarrollo completo de un nuevo sistema de análisis Desarrollo completo de una nueva GUI basada en web Probado en el troncal ATM de RedIRIS en Cataluña (Anella Científica) Conecta las universidades y centros de investigación catalanes a Internet 2 enlaces ATM 155 Mbps. –2 splitters ópticos –2 tarjetas ATM FORE PCA200 –1 PC de captura + 1 PC de análisis

7 Objetivos Captura completa del tráfico (100%) No captura estadística MIRA (~10%) Cambio de software de captura (CAIDA CoralReef) Captura y análisis sólo de cabeceras No captura de contenidos (sólo 1ª celda ATM trama AAL5) Agrupación en flujos (reducción volumen) Motivos Restricciones legales Encriptación de paquetes Reducción del coste de captura y análisis Desarrollo completo de un sistema de análisis nuevo Disponer de un sistema propio del CCABA-UPC Capaz de analizar el 100% del tráfico en tiempo real

8 Captura de tráfico Requerimientos Bajo coste Captura completa Transparente y de fácil aplicación Captura de cabeceras y agregación en flujos Dificultades Enlaces de alta velocidad Volumen de información a analizar y almacenar Técnicas de captura de tráfico Activa / intrusiva (Netflow, SNMP, …) Pasiva / no-intrusiva (CAIDA CoralReef) –No degrada el rendimiento de la red –No introduce tráfico adicional –La captura se realiza en un equipo independiente

9 Análisis de tráfico Objetivos Bajo coste Análisis del 100% del tráfico en tiempo real Almacenamiento permanente de los resultados Solución Traducción de flujos IP a flujos clasificados (clasificación) –Direcciones IP Instituciones y grupos de destinos –Puertos y protocolo Aplicación (HTTP, MAIL, DNS, P2P, … ) –Flujos IP unidireccionales Flujos clasificados bidireccionales Generalización identificadores flujo Reducción num. Flujos –Acumulación bytes/paquetes Resultados: Reducción drástica del volumen a almacenar (> 99%) Se continua manteniendo la información importante para conocer el uso de la red

10 Ejemplo de clasificación Dirección IP origenDirección IP destinoProtocoloPuerto origenPuerto destinoPaquetesBytes A.B.C.XD.E.F.U A.B.C.YD.E.F.V G.H.I.JK.L.M.N A.B.C.ZD.E.F.W ………………… Dirección IP origenDirección IP destinoProtocoloPuerto origenPuerto destinoPaquetesBytes D.E.F.VA.B.C.Y D.E.F.UA.B.C.X D.E.F.WA.B.C.Z K.L.M.NG.H.I.J ………………… INSTITUCIÓNGRUPO DESTINOAPLICACIÓN PKTS INBYTES IN PKTS OUTBYTES OUT INSTITUCION-XDESTINO-ZWWW INSTITUCION-NDESTINO-MGNUTELLA ………... …… Flujos clasificados (entrada y salida): Flujos IP de salida: Flujos IP de entrada:

11 Escenario de prueba (ATM) 0 1 ANELLA CIENTÍFICA (ATM) GIGACOM (ATM) REDIRIS Otras CCAA (ATM) ESPANIX GÉANT INTERNET_GLOBAL Plataforma captura (FreeBSD+CoralReef) Sistema de análisis (Linux) Visualización de resultados (APACHE+PHP) Segmento Ethernet dedicado (NFS) Tráfico Entrada Tráfico salida RedIRIS (Barcelona) Conmutador ATM RedIRIS (Madrid) Conexión Internet splitters

12 Otras características Acumulación adicional en periodos de contabilidad Resultados diarios, semanales, mensuales Registros de tráfico desconocido (logs) Direcciones IP Aplicaciones y Puertos Protocolos y tráfico no TCP/UDP Modelo de compartición de costes (matriz tarificación) Volumen Sentido del tráfico Institución Destino Aplicación GUI para visualizar los resultados de análisis (web)

13 Índice Antecedentes Prototipo CCABA-UPC Proyecto SMAЯTxAC Objetivos Escenario actual Resultados on-line

14 Proyecto SMAЯTxAC SMAЯTxAC: Sistema de monitorización y análisis de tráfico para la Anella Científica Acuerdo de colaboración entre UPC y CESCA CESCA: Centre de Supercomputació de Catalunya. Gestores de la Anella Científica Inicio en Julio 2003 Objetivos Adaptar el prototipo CCABA-UPC a los requisitos del CESCA Obtener información que ayude al CESCA a la gestión de la Anella Científica Instalación definitiva y estable en el troncal de RedIRIS en Cataluña

15 Fase I: Adaptación del prototipo CCABA-UPC Adaptar el sistema a la tecnología Gigabit Ethernet Migración de la red ATM a GbE (Mayo 2003) Aumento de capacidad de 310 Mbps a 2 Gbps Cambio del hardware de captura Tarjeta DAG 4.23 GE Splitters ópticos GbE SX Adaptar software de captura Incompatible con DAG 4.23 GE Solución: CoralReef modificado Optimización del sistema de análisis Análisis del 100% del tráfico en tiempo real (hasta 2 Gbps) Utilizando únicamente 1 PC estándar para la captura

16 Fase II: Nuevos requisitos Generar información útil para el uso diario del sistema por parte de un gestor de la red Funcionalidades/mejoras que el CESCA considere necesarias Hacer el sistema más fácil de usar Detección automática de situaciones/usos irregulares Cambios en los patrones habituales de tráfico por institución Ataques (DoS, DDoS, Spoofing, … ) Uso de aplicaciones P2P o equivalentes Reacciones ante situaciones irregulares Generación de alarmas para avisar al administrador Guardar información adicional sobre el tráfico sospechoso Análisis off-line para descubrir las posibles causas

17 RedIRIS2 Escenario actual (GbE) 0 1 ESPANIX GÉANT INTERNET_GLOBAL Plataforma de captura (Linux + CoralReef modificado) Sistema análisis (Linux) Visualización de resultados (APACHE+PHP) Segmento Ethernet dedicado (NFS) Tráfico salida Tráfico entrada CISCO 6513 (Anella Científica) Juniper M20 (RedIRIS) Conexión Internet 1 Gbps ANELLA CIENTÍFICA (GbE)

18 Resultados on-line Resultados de las pruebas con el prototipo CCABA- UPC (ATM) Primeros resultados SMAЯTxAC (GbEth)


Descargar ppt "CENTRE DE COMUNICACIONS AVANÇADES DE BANDA AMPLA SMAЯTxAC: Sistema de Monitorización y Análisis de ocifáЯT para la Anella Científica Pere Barlet Ros Josep."

Presentaciones similares


Anuncios Google