Dariusz Zmysłowski - Systemics PAB
Rafał Wiszniewski - Orange Polska
Language: Polish
Istotnym obszarem działalności Systemics-PAB jest współpraca z Orange Polska w zakresie testowania wydajności i bezpieczeństwa systemów sieciowych z wykorzystaniem rozwiązań oferowanych przez Spirent Communications. W trakcie prezentacji zostanie przedstawione praktyczne wykorzystanie produktów Avalanche i Avalanche Next w Orange Polska.
W związku z rosnącą ilością zagrożeń ze strony sieci Internet rośnie liczba urządzeń kierowanych do ochrony użytkowników sieci przed niepowołaną treścią. Aby sprostać wymaganiom stawianym przez największe sieci, producenci wprowadzają na rynek coraz to bardziej zaawansowane rozwiązania, których wydajność wydaje się być wystarczająca, aby chronić sieci z dużą liczbą użytkowników. Co więcej deklarowana wydajność niektórych urządzeń wydaje się być wystarczająca nawet do uruchomienia takowych urządzeń w rdzeniu sieci.
Orange Polska testuje wydajnościowo urządzenia oraz usługi naszych Klientów dostępne w sieci Internet. Poddajemy je szeregowi testów, których celem jest sprawdzenie ich wydajności i funkcjonalności, określenie słabych punktów i wąskich gardeł, przygotowanie scenariuszy awaryjnych czy zaplanowanie modernizacji i rozbudowy.
Systemics – PAB specjalizuje się pomiarach jakości usług telekomunikacyjnych, usługach i dostarczaniu rozwiązań z obszaru optymalizacji, inżynierii systemów telekomunikacyjnych, bezpieczeństwa i wydajności środowisk sieciowych.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomunikacyjnego - Dariusz Zmysłowski, Rafał Wiszniewski
1. Dariusz Zmysłowski, Systemics PAB
Rafał Wiszniewski, Orange Polska
20150302
ocena wydajno ci i bezpiecze stwaś ń
infrastruktury
operatora telekomunikacyjnego
2. 2
Systemics PAB – o nas….
Przedstawicielstwa handlowe: Austria, Jordan, Meksyk
Zrealizowane projekty: Polska, Wielka Brytania, Niemcy,
Austria, Irlandia, Rosja, Kambodzą
•Systemics powsta wł 1990 roku
•G ó wna siedziba -ł Warszawa
• Firma specjalizuje si w pomiarach jako ci sieci ię ś
us ug (telco/IT) oraz w dostawie i implementacjił
rozwi za ICTą ń
•Regionalny lider w zakresie testowania jako ciś
sieci mobilnych, ich wydajno ci (audyty,ś
benchmarking).
• G ó wne rynkił : Polska, Niemcy, Rosja
• Przychody za 2014: >6 mln€
•> 70% przychodó w firmy pochodzi z projektó w
zagranicznych
• 60 pracownikó w
Systemics w Rosji
•Biuro projektowe w Moskwie
•Projekty dla: NSN, MTS, Vimpelcom
•Zdolno ci do jednoczesnych pomiaró w wś
ró nych regionach.ż
3. 3
Systemics PAB – kompetencje….
Testowanie wydajno ci i jako ci sieci telekomunikacyjnychś śTestowanie wydajno ci i jako ci sieci telekomunikacyjnychś ś Jako w rodowiskach ICTść śJako w rodowiskach ICTść ś
Wydajno urz dze , systemów i usługść ą ńWydajno urz dze , systemów i usługść ą ń Testowanie wydajno ci systemów pod k temś ąTestowanie wydajno ci systemów pod k temś ą
bezpiecze stwańbezpiecze stwań
Testowanie wydajno ci i jako ci sieci telekomunikacyjnychś śTestowanie wydajno ci i jako ci sieci telekomunikacyjnychś ś Jako w rodowiskach ICTść śJako w rodowiskach ICTść ś
Wydajno urz dze , systemów i usługść ą ńWydajno urz dze , systemów i usługść ą ń Testowanie wydajno ci systemów pod k temś ąTestowanie wydajno ci systemów pod k temś ą
bezpiecze stwańbezpiecze stwań
•Aktywne testy, wydajno ciowe testy poró wnawcześ ,
ocena QoS i QoE sieci mobilnych in LTE/3G/2G
•Diagnostyka i optymializacja sieci telekomunikacyjnych
(warstwy L2-L7)
•Testowanie i analiza wydajno ci, efektywno ci iś ś
bezpiecze stwa sieci transmisji danychń
•Testowanie i monitorowanie parametró w SLA w sieciach
• Testowanie wydajno ci urz dze i systemó w ICT,ś ą ń
badanie zgodno ci w wymaganiami przetargowymiś
•Monitowanie sieci danych w czasie rzeczywistym
bazuj ce na pró bnikachą
•Testy laboratoryjne , sprzeda i wynajem sprz tuż ę
pomiarowego nts
PROFESSIONAL
SERVICES
•Do wiadczony zespó ekspertó wś ł
•Zaimplementowany system zarz dzania jako cią ś ą
ISO 9001:200
• Specjalizowane narz dzia softwarowe dedykowaneę
do zaawansowanej analizy danych pomiarowych
•Elastyczne rodowisko sprz towe gotowe doś ę
prowadzenia projektó w na du skal .żą ę
•Zdolno do testowania najnowszych technologii iść
sprz tu w zakresie bezpiecze stwa danych ię ń
bezpiecze stwa sieciowegoń fast project execution
ZASOBY
SwissQual; Spirent Communications; Microtel Innovation;
Telchemy; Metaswitch Networks; IMSWorkX; Actix; SAS Institute
PARTNERZY
4. 4
Czy testowanie wydajno ci rodowisk sieciowychś ś
pod k tem bezpiecze stwa jest wa ne?ą ń ż
Globalny ruch sieciowy bazuj cy na IP przekroczy próg ZB (zettabajt) w 2015 roku i osi gnieą ą
poziom 1,6 ZB do 2018 r.
Globalny ruch sieciowy bazuj cy na IP wzrósł 5x w ci gu ostatnich 5 lat a wzro nie jeszcze 3xą ą ś
w ci gu nast pnych 5 lat.ą ę
Content delivery networks (CDNs) b d transportowa wi cej ni połow całego ruchuę ą ć ę ż ę
internetowego w 2018 roku.
Do 2018 roku Wi cej ni połowa całego ruchu bazuj cego na IP b dzie pochodzi z innychę ż ą ę ć
urz dze ni PC.ą ń ż
Do 2018 roku ruch zwi zany z aplikacjami video bazuj cymi na IP b dzie stanowił 79%ą ą ę
całego ruchu u ytkowników ko cowych, w 2013 roku wynosił on 66% całego ruchuż ń
zwi zanego z aktywno ci internetow u ytkowników ko cowych.ą ś ą ą ż ń
6. 6
Smartphones &
mobile devices
Data center, cloud
computing & virtualization
Mobile access, backhaul
and packet core
Live network services
High-speed IP networks
& applications
Global positioning
technologies
Spirent – globalny lider rynku testowania
komunikacji
8. 8
•Generatory ruchu do testowania protoko ó w Ethernet/IPł
•Testy funkcjonalne i obci eniowe urz dze pracuj cych wąż ą ń ą
warstwach L2-3
•Weryfikacja zgodno ci ze standardem OSIś
•Weryfikacja parametró w podawanych przez producenta
•Testy poró wnawcze ró nych producentó wż
•Emulacja topologii sieciowych z routingiem w labie
•Testowanie sieci end-to-end
•Emulacja zak ó ce sieciowych i badanie odporno cił ń ś
Testowanie sieci i urz dze sieciowych L2-3ą ń
9. 9
•Generatory ruchu aplikacyjnego L4-7 (HTTP, FTP, Video)
•Generatory zagro e sieciowych (malware, wirusy, trojany)ż ń
•Testowanie bezpiecze stwa sieciń
•Du e wydajno ci generowanego ruchuż ś
•Testowanie skuteczno ci zabezpiecze (Firewall, anti-virus,ś ń
IDS)
•Weryfikacja podatno ci na zak ó cenia p yn ce z sieciś ł ł ą
•Testowanie odporno ci na ataki DDoSś
•Testowanie jako ci us ug podczas atakuś ł
•Odwzorowanie modeli ruchu z Internetu
Testowanie aplikacji i bezpiecze stwa sieciń
10. 10
Wi ksze wyzwania stawiane dla testom L4-7…..ę
– Next Generation Firewalls
– Network Security
– Application-aware shaping
– Video and content delivery networks
– Mobile security
– Intrusion Detection/Protection
– Deep packet inspection (DPI)
– Web security gateways
– Encryption
Performance| Availability| Scalability| Security
11. 11
Rozwi zania do testowania warstw L4-7 oferowane przezą
Spirent Communications
– Avalanche
– Studio Security
– Studio Performance
– Avalanche Next
13. 13
Avalanche Commander w pigułce……
Security
– IPsec, Site to Site and Remote Access
– HTTPS, Certificates, up to date algorithms
– 8000+ Threats
– High rate Ddos
– Infected host simulation
Realism
– User behaviour, browser simulation
– 40+ configurable native protocols
– Configurable pcap replay
– Video testing including ABR
Agile
– Combined protocols per user
– Record user behaviour from real browser
– Time scheduled load control
– 1700 run-time and post test statistics
Performance
– Line rate traffic mix
– 4,000,000 CPS
– 120,000,000 Concurrent Connections
15. 15
REALISM
Test Your Network,
Your Traffic, Your
Reality
SECURITY
Find and Fix
Vulnerabilities
Quickly
AGILITY
Test Now, Not Months
From Now
PERFORMANCE
Extreme Scale
Performance
Avalanche
Commande
r
The most advanced way to Test
18. 18
wykorzystanie platformy Spirent
zakup ochrony przed atakami DDoS lub weryfikacja
do jakiego poziomu moja infrastruktura jest odporna
sprawdzenie parametrów wydajno ciowych urz dześ ą ń
sieciowych/serwerów przed zakupem
potwierdzenie skuteczno ci i/lub wydajno ci swoichś ś
mechanizmów zabezpieczeń
wprowadzenie zmiany w swojej sieci
modernizacja lub implementacja poprawki swoich
mechanizmów zabezpiecze (platformy, systemy,ń
aplikacje)
20. 20
sprawdzam...
odporno na atakść
DDoS
przeci eniowyąż
obci eniowyąż
wybór/porównanie
producentów
produktu
strojenie wydajno ciś
bezpiecze stwań
(wydajno ciowy)ś
skanowanie
podatno ciś
test penetracyjny
audyt
podstawowy
rozszerzony
21. 21
usługa testy wydajno ciś
usługa polega na obci aniu infrastrukturyąż
lub pojedynczych urz dze bardzo du ym ruchemą ń ż
sieciowym
testy przeprowadzane s w kilku wariantach a ichą
szczegółowe scenariusza s uzgadniane z Klientamią
do testów wykorzystujemy urz dzenia wiatowego lideraą ś
w tej dziedzinie firmy Spirent
23. 23
przykładowe scenariusze
HTTP GET/POST pomiar wydajno ci serwerówś
DNS QUERY odporno na ataki typuść
TCP SYN FLOOD odporno na taki typuść
UDP/ICMP FLOOD odporno na atakść
[Ken] this slide certainly shows a diversity of customers across segments and geographcy (a strength).
Maybe we could state it explicitly as well: World-Class, Diversified Customer Base.
Maybe mute the map a bit more as done here. At first glance I was thinking the logos went with regions.
Supported on many platforms assures scalability of every solution from small to big setups
Not only many protocols are natively implemented in the Avalanche, but with the Special pcap replay editor and engine Avalanche can replay every customers traffic and behavior. With the SAPEE (DPG) editor the user can modify their own network trace to meet their testing needs.
In addition Spirent offers a huge trace database of predefined pcaps, free of charge available on request.
pomiar wydajności serwerów – zapytania HTTP GET/POST
Żądania HTTP GET/POST, losowe, obciążające URL (np. wyszukiwanie, logowanie etc.), port docelowy 80/tcp. W miarę możliwości atak ten będzie prowadzony z wielu adresów IP w celu symulacji zachowania Botnetu
odporność na ataki typu DNS QUERY
Pakiety DNS UDP, spoofowane, pofragmentowane, losowe zapytania DNS o losowe rekordy domen utrzymywanych na docelowych serwerach DNS
odporność na taki typu TCP SYN FLOOD
Atak TCP Syn flood ma na celu wygenerowanie dużej ilości pół-otwartych sesji do usługi atakowanego hosta.
odporność na atak UDP/ICMP FLOOD
Atak UDP/ICMP Flood ma na celu wygenerowanie dużego ruchu w stronę atakowanego hosta, tak aby zapełnić określoną przepustowość.
pomiar wydajności serwerów – zapytania HTTP GET/POST
Żądania HTTP GET/POST, losowe, obciążające URL (np. wyszukiwanie, logowanie etc.), port docelowy 80/tcp. W miarę możliwości atak ten będzie prowadzony z wielu adresów IP w celu symulacji zachowania Botnetu
odporność na ataki typu DNS QUERY
Pakiety DNS UDP, spoofowane, pofragmentowane, losowe zapytania DNS o losowe rekordy domen utrzymywanych na docelowych serwerach DNS
odporność na taki typu TCP SYN FLOOD
Atak TCP Syn flood ma na celu wygenerowanie dużej ilości pół-otwartych sesji do usługi atakowanego hosta.
odporność na atak UDP/ICMP FLOOD
Atak UDP/ICMP Flood ma na celu wygenerowanie dużego ruchu w stronę atakowanego hosta, tak aby zapełnić określoną przepustowość.