Protocol Analyzer for Embedded IP Router Espoo 7

Protocol Analyzer for Embedded IP Router Espoo 7. 10. 2003 Valvoja: Prof. Patric Östergård Ohjaaja: DI Pasi Kinnari Tuomo Sievilä File Name

Sisällysluettelo l Johdanto l HW ja SW – ympäristö l Verkon liikenteen seuranta l Ohjelmistojen vertailu l Toteutetun protokolla-analysaattorin kuvaus l Johtopäätökset File Name

Johdanto l Työ toteutettiin osana Tellabs Oy: n tuotekehitysprojektia l Tavoite: protokolla-analysaattori sulautettuun reitittimeen l Käytännön työ: l Eri analysaattorityökalujen tutkiminen ja vertailu l Tcpdump-ohjelman siirtäminen kohdejärjestelmään l Kaapattujen pakettien analysointi File Name

Johdanto l Internet-liikenne kasvaa huikeaa tahtia l Valtaosa IP-liikennettä l Reitittimet aiemmin: l Perustehtävänä pakettien lähettäminen oikeaan osoitteeseen l Reitittimet nykyään l Monipuolisia verkkoelementtejä l Pystyttävä tulkitsemaan useita protokollia l Palvelun laatuun liittyvä liikenteen hallinta File Name

HW-ympäristö l Access Node: l Kontrollikortti ja 0 -12 linjakorttia l Linjakorteilla eri dataliittymiä, esim. Gigabit Ethernet, STM-16 l Nopein liittymä STM-16: 2, 5 Gbit/s l Linjakorteilla liikenneprosessorit l Monimutkaisempi prosessointi kontrollikortilla l Suuri määrä RAM-muistia, vähemmän FLASH-muistia File Name

SW-ympäristö l Sulautettu järjestelmä: l Käyttöjärjestelmä perustuu Free. BSD: hen l Rajallinen määrä muistia -> pienetkin muistivuodot kriittisiä l Vain yksi ohjelma ajossa, muodostuu aliprosesseista l CLI-komentorajapinta: l Cisco-tyyppinen yhteysrajapinta asetuksia varten l Hyvin rajallinen graafinen tuki (ncurses) l Käskyt avainsanoilla, parseri yksinkertainen File Name

Verkon liikenteen seuranta l Verkosta kulkevista paketeista otetaan kopio omalle koneelle l Kaapattuja paketteja voi tutkia protokolla-analysaattorilla l Useita käyttötarkoituksia: l Ohjelmoijalle l Verkon ylläpitäjälle l Verkkoa vastaan hyökkääjälle File Name

Verkon liikenteen seuranta: ohjelmoija l Pystytään helposti tutkimaan, toimiiko protokollatoteutus oikein: l Kulkevatko paketit oikeaan osoitteeseen? l Onko pakettien sisältö oikean muotoinen? l Kulkeeko verkossa ylipäätään paketteja? l Ohjelmistojen toiminnan testaus verkon yli helpottuu l Toimintaa voidaan tutkia erilaisilla liikennekuormilla ja ruuhkatilanteissa File Name

Verkon liikenteen seuranta: ylläpitäjä l Pystytään paikantamaan verkossa: l Vialliset laitteet l Solmukohdat l Yhteensopivuusongelmat l Mahdolliset tunkeutujat ja hyökkäykset l Hyvä protokolla-analysaattori erinomainen työkalu: l Ongelmatilanteet havaitaan l Ongelmatilanteet voidaan ennakoida File Name

Verkon liikenteen seuranta: hyökkääjä l Joka kolikolla kaksi puolta: l Hyvä ylläpitotyökalu väärissä käsissä vaarallinen l Mahdollisia väärinkäytöksiä: l Kaiken salaamattoman ja heikosti salatun liikenteen salakuuntelu l Käyttäjätunnuksien ja salasanojen selvittäminen l Toisten sähköpostin lukeminen l Tiedostojen kaappaaminen File Name

Ohjelmistojen vertailu l Työssä vertailtiin kuuden erilaisen protokollaanalysaattorin ominaisuuksia: l 2 freeware-ohjelmaa: Ethereal, Ettercap l 2 shareware-ohjelmaa: Network Spy, Sniff’em l 2 täysin maksullista: Ether. Peek, Lan. Explorer File Name

Ohjelmistojen vertailu: tulokset l Kaikki pystyivät: l Tavallisimpien IP-pinon protokollien datan tulkinta l Pakettien kaappaus lähiverkkoympäristössä l Yksinkertainen kaapatun liikenteen suodatus l Edistyneempien ohjelmien ominaisuuksia: l Tilastollinen analyysi verkon tilasta ja liikennemääristä l Etäagentin käyttö liikenteen analyysiin ulkoverkoissa l Liikenteen kaappauksen aloittaminen erikoisolosuhteissa l Monipuoliset liikenteen suodatusominaisuudet File Name

Toteutetun protokolla-analysaattorin kuvaus l Tcpdump: l Vapaalla lisenssillä levitettävä liikenteen kaappausohjelma l Koodi vapaasti saatavissa ja muokattavissa l Toimii komentoriviltä l Monipuoliset suodatinvaihtoehdot l De facto standardi liikenteen kaappaukseen File Name

Toteutetun protokolla-analysaattorin kuvaus l Tcpdump: in siirto kohdeympäristöön: l Muistinhallinta l Tulostusfunktiot l Komentoriviparseri l Pääohjelmasta aliprosessiksi l Keskeytysten hallinta File Name

Toteutetun protokolla-analysaattorin kuvaus l Toteutus ainoastaan kontrollikortille l Suurin osa linjakorteille tulevasta datasta ei kulje kontrollikortin kautta l Kaikkea liikennettä ei voi kaapata, koska data kulkee reitittimen läpi gigabittiluokan nopeudella l Kontrollikortillekin tulee paljon liikennettä File Name

Toteutetun protokolla-analysaattorin kuvaus l Ethereal tulkitsee kaapatun liikenteen l Tcpdump-tiedostot siirretään FTP: llä Etherealille l Etherealin ominaisuuksia: l Tulkitsee useita satoja eri protokollia l Aktiivisesti kehitettävä ohjelma l Ilmainen, lähdekoodi avoin File Name

Johtopäätökset l Tcpdump: in toteutus onnistui kohdeympäristöön l Perusominaisuudet hyvät l Edistyneemmät analysointiominaisuudet vajavaiset l Kaikkea liikennettä ei voi kaapata l Liikenteen kaappaus suoraan linjakorteilta vaatisi paljon lisää työtä, koska sallitut prosessointiajat ovat niin pienet File Name

Kiitos! Kiitoksia mielenkiinnosta, kysyttävää? File Name