102年度台北區網年度報告 單位:國立臺灣大學 計資中心主任:孫雅麗 教授 報告人:游忠憲、游子興 Email:chyue@ntu.edu.tw/davisyou@ntu.edu.tw 電話:02-33665013/02-33665008 日期:2013/12/4
一、中心簡介及人力狀況 單位名稱:臺北區域網路中心 網址:http://tprc.tanet.edu.tw/ 單位地址:臺北市羅斯福路四段一號 單位傳真:(02) 23637204 單位主管:孫雅麗 E-mail:sunny@ntu.edu.tw 電話:(02) 33665001 網路管理負責人:游子興 E-mail:davisyou@mtu.edu.tw 電話:(02) 33665008 資安業務負責人:游忠憲 E-mail:chyue@ntu.edu.tw 電話:(02) 33665013
中心簡介及人力狀況(Cont.) 編制內專職及約聘僱人員8名,其中區網經費及資安經費各約聘2名。 負責臺北區域網路中心網路規劃、建置、維護、技術諮詢服務及相關伺服器(Web、Proxy)維護管理等業務。
二、資訊安全環境整備 通過教育版資訊安全管理制度(ISMS)認證 DNS 放大攻擊處理概況說明
DNS amplification attack(放大攻擊)簡介 Ref: http://nsfocusblog.com/tag/dns-amplification-attacks/
DNS amplification attack分析說明 台北區網透過IPS即時監測各區網有無DNS放大攻擊事件,偵測基本架構可參考右圖。
DNS amplification attack分析說明 在北區ASOC 協助下,經由Arcsightg收容前端IPS資料後,進行後續的關聯分析,便可得知攻擊拓撲圖,來了解此種攻擊行為的模式及關連性。
DNS amplification attack分析說明 檢視IPS所偵測到的事件封包,可發現具有明確的攻擊特徵,攻擊者偽造來源後,並針對特定domain發送大量query封包,藉此癱瘓受害主機頻寬。
DNS amplification attack 解決方案 在區網IPS上封鎖攻擊,並通知該校負責網管、其權責長官,並陸續協助各校DNS Server復原。 通知DNS管理者,並請其協助將所屬DNS修正設定 設定 ACL: 僅允許符合ACL設定的網段進行recursive query 設定 rate limit: 限制單一 IP 在短時間內的查詢次數
DNS amplification attack後續審查 目前通報學校計有國中小12所,高中5所,大學2所等共19所。 台大區網DNS放大攻擊數量單日最高為18萬筆(11/4)。 至截稿前台大區網DNS放大攻擊數量已降低至83筆(11/25),約降低99.99%。
三、網路中心運作情形 共計51間連線學校 區網中心連線設備兩台: 區網主幹 Router: Cisco 6509 區網 Switch: Cisco 2960
臺北區網連線架構圖 使用介面統計: TenGiga: Giga: FastEthernet : 2 ports 55 ports
102年度臺北區網重要事項記錄 102年1月 區網網頁改版 102年1月 The Dude 監控軟體建置 102年2月 與台大頻寬升級為 10Gb 102年4月 區網實體線路重新整線 102年4月 102年度第一次區網會議 102年5月 完成教育版 ISMS稽核 102年7月 102年度區網教育訓練 102年8月 HINET頻寬升級3Gb 102年10月 102年度第二次區網會議 102年 一月 二月 三月 四月 五月 六月 七月 八月 九月 十二月 十月 十一月
臺北區網營運服務目標 網路服務可用性 網路連線順暢性 提升區網中心路由器介接之實體線路的可用性,避免眾多連線學校線路交錯導致拉扯而中斷,於102年4月完成區網路由器實體線路重整 網路連線順暢性 102年4月區網中心與臺大連線由2Gbps升級為10Gbps 102年8月區網中心與HINET連線由2Gbps升級3Gbps
2013/04~2013/10 公告服務記錄 月份 會議 資安 電路異常 設備異常 總計 201304 1 201305 201306 201307 201308 2 201309 201310 3 9
2013/04~2013/09 咨詢服務記錄 月份 ipv6 Routing相關 升速相關 網頁服務 設備異常 資安相關 電路異常 總計 201304 1 3 201305 2 8 201306 4 201307 201308 6 201309 12 5 31
異常處理經驗分享於區網會議 異常處理範例1 – Routing 相關 異常處理範例2 –資安相關 使用國外免費之 Traceroute 服務 ACL 阻擋 www.amazon.co.jp IP: 54.240.252.0 IP 位址 X.X.X.0 或 X.X.X.255 結尾是否合法
資訊安全-網頁登入密碼強化 為加強資料庫安全,連線密碼已由明碼改為使用Hash Key加密
四、資訊應用環境導入 網路管理機制 IPv6 導入現況 連外線路偵測 連線學校線路偵測 Netflow 記錄與搜尋 Syslog記錄與Alert通知 連線品質管理 IPv6 導入現況
網管機制-連外偵測 The Dude: Open Source、Freeware Windows Platform 教育部 其他 區網中心 臺北區網中心 臺大 ISP 連線學校 The Dude: Open Source、Freeware Windows Platform 支援 ping、SNMP、DNS、http… 等偵測方法
網管機制-連線學校偵測 線路障礙即時通知 email
網管機制- Netflow記錄與搜尋 Cacti: Open Source、Freeware 操作容易、介面美觀 不需撰寫程式即可提供流向分析搜尋功能 時間、Protocols Source IP、Source Port Destination IP、Destination Port
網管機制- Syslog記錄與Alert通知 Email 通知: Login Success Email 通知: Link Down Syslog 記錄保存 自訂“關鍵字”即時 Alert 通知 email Link UP/Down Login Sucess
網管機制- 連線品質管理 Ping Latency 監控 Yahoo/Google/Facebook
IPv6 Routing 運作現況 數目 百分比 IPv6 ready 17 33% IPv6 not ready 34 67%
已導入 IPv6 Routing 比例 數目 百分比 大學院校 12 71% 高中職 4 23% 國中小學 1 6%
五、創新服務 針對最近發生之DNS放大攻擊,提供 ipv4/ipv6 連線能力檢測 Linux/Windows DNS Service 調整建議 DNS 線上功能檢查 DNS Recursion 檢查 DNS Transfer 檢查 DNS 反解-完整性檢查 ipv4/ipv6 連線能力檢測
DNS放大攻擊與檢測方法
BIND/Windows DNS 設定調整 Linux: Bind DNS 調整方法 Windows: DNS 調整方法
DNS Recursion 線上檢查 網頁即時線上查詢 不需學習複雜指令 提供使用臺北區網網段查詢 彈性網段查詢 /24 ~ /32 正常: 未開啟 Recursion 功能 網頁即時線上查詢 不需學習複雜指令 提供使用臺北區網網段查詢 彈性網段查詢 /24 ~ /32 DNS Recursion:正常情況應僅提供內網查詢 異常: 已開啟 Recursion 功能
DNS Transfer 線上檢查 DNS Transfer:正常情況應僅提供 Slave DNS查詢 正常: 未開啟 異常: 已開啟 DNS Transfer
DNS 反解-完整性檢查 彈性網段查詢 /24 ~ /32 DNS 反解:正常情況所有 ip 皆應有對應反解名稱 正常:有反解名稱 異常: 無反解名稱
ipv4/ipv6 連線能力檢測
ipv4/ipv6 連線能力檢測-www.hinet.net ipv4: DNS解析正常 Ipv6: DNS解析正常 線上查詢網站ipv4/ipv6 連線能力 不需學習複雜指令 提供使用臺北區網網段查詢 Ipv6: ping 正常 Ipv4: ping 正常 Ipv6: tracert 正常 Ipv4: tracert 正常
ipv4/ipv6 連線能力檢測-tw.yahoo.com ipv4: DNS解析正常 Ipv6: DNS解析不存在 Ipv4: ping 正常 Ipv6: 無法ping Ipv4: tracert 正常 Ipv6: 無法tracert 35
六、教育推廣 102年度暑假期間舉辦10場教育訓練,課程內容包含先進網路技術、網路管理、及資訊安全(含智財權與個資保護)等相關議題。 上課講義內容已放於區網研討會網頁可供下載http://ccnet.ntu.edu.tw/course/course102/
七、經費運用 教育部補助經費: 149萬元/年 於雜支項目中,因區網網頁伺服器老舊,額外購買電腦零組件,作為執行網路品質偵測伺服器 與開發相關 PHP 應用程式平台。 經費項目 預算金額 人事費 1,155,760 業務費 188,094 維護費 139,200 雜支 6,946 合計 1,490,000
八、綜合建議 建立TANET網路連線異常公告機制,可避免連線學校電話往返溝通聯繫 如上述事件影響層面較廣,建議可公告於 資訊及科技教育司 > 訊息公告 > 電子布告欄 時間 事件 2013年5月 facebook 等網站無法連線 1. 來源網段210、203 開頭,Tracert 至香港ISP之路由無法抵達。 2. 教育部、中研院、中華電信國際分公司嘗試多種方式,於2013/05/31排除障礙" 2013年9月 連線 Google/Youtube 速度緩慢, 中研院 Google Cache 異常,下午4:30左右修復 2013年11月 連線 facebook與 yahoo 異常. 經中研院之路由發生異常,暫時將路由改從國際線出去
九、明年度工作重點 建構區網雲端虛擬伺服器 區網網頁備份主機 網路品質偵測主機 區網連線學校測試主機 線路品質偵測 Netflow 記錄與搜尋 Syslog記錄與Alert通知 區網連線學校測試主機 可綁定連線學校提供特定網段IP,做連線測試,可快速釐清為 Source IP 或電路問題
明年度工作重點 Cont. 網路品質偵測系統提供網路異常訊息,通知連線學校網管相關人員 持續整理異常事件處理經驗,針對異常狀況擬定處理對策 SOP 持續開發易於使用之網管PHP小程式
簡報完畢 謝謝