Bezpečnost internetových služeb v ČD-T
-
Upload
harrison-mcintyre -
Category
Documents
-
view
22 -
download
0
description
Transcript of Bezpečnost internetových služeb v ČD-T
Bezpečnost internetových služeb v ČD-T
Kam kráčí bezdrátové sítě, Srní 2014
5. 9. 2014
OBSAH
O ČD - Telematika (ČD-T)
IP služby ČD-T
ČDT - MONITOR
Útoky na zákazníky ČD-T
FENIX
2
Důležité milníky v historii
3
1994 Založení ČD - Telekomunikace
1999 Začátek výstavby optické sítě
2002 Spuštění provozu SDH sítě, zahájení obchodního působení
2005 Rozšíření nabídky o produkty z oblasti informatiky. Změna názvu na ČD - Telematika a.s.
2010 Upgrade přenosových sítí DWDM a IPNET pro ethernetové služby
2011 Strategický projekt páteřní sítě pro mobilního operátora
Naše zázemí
4
3 500 km optických tras, 123 043 km optických vláken
Optická síť ve více než 400 přípojných bodech
Metropolitní sítě ve 26 velkých městech
Robustní páteřní síť s 80 kanálovým DWDM systémem a N x 10 Gbps ethernetová síť
Velkoobchodní prodej a prodej do státní správy
OPTICKÁ SÍŤ v roce 2014
5
Páteřní ethernet síť ČD - Telematika a.s
6
Páteřní sít dvojitá DWDM hvězda mezi core PoPy s kapacitou N x 10 Gb/s přístupové sítě s kapacitou 10 Gb/s propojení 3 x 10 Gb/s do zahraničí a 2 x 10 Gb/s do NIXu dual-stack = nativní koexistence IPv4 a IPv6 ve společném
prostředí
Prodej konektivity služby na celém území ČR kapacita 2 Mb/s – 3 Gb/s prodáno cca 56 Gb/s
Prostor pro novou službu
7
množství útoků a zneužití sítě zejména k DDoS útokům stále vzrůstá běžný ISP přenáší data a bezpečnost neřeší
často na to není ani vybaven ale zná koncového uživatele�
ČDT-MONITOR
Jak funguje ČDT-MONITOR?
8
máte konektivitu od ČD T a požádáte o službu‐ tým ČD T aktivuje službu a nastaví reporting‐ provoz IP adres ISP je automaticky vyhodnocován
(hned po aktivaci bez learning období) zjištěné incidenty jsou reportovány e mailem‐ ISP může na vzniklou situaci rychle reagovat
notifikovat koncového zákazníka�omezit služby, …�
Vybrané metody
9
Telnet – zvýšené použití služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení;
SSHDICT – pokusy o uhodnutí jména/hesla, případně přihlášení podvrženým certifikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok;
OUTSPAM – odesílání nebo pokusy zvýšeného počtu e-mailů z konkrétních IP adres; SCANS – různé typy scanování sítě a způsoby provedení – počet unikátních scanů, zpráva o
odpovědi scanované IP adresy a seznam portů. Indikuje zavirované IP adresy; DNSQUERY – zvýšený počet DNS dotazů z konkrétních IP adres; DNSANOMALY – podezřelá komunikaci DNS provozu; BLACKLIST – kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami
uvedenými na blacklistu; RDP Dictionary Attacks – rozpoznává pokusy o uhádnutí uživatelského jména a hesla do služby
RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému.
REFLECTDOS Amplificated DoS attack – detekuje DoS útoky, které využívají ke svému zesílení nedostatků některých služeb. Umožňují vygenerovat pro specifický požadavek několikanásobně větší odpověď, a to k jejímu odeslání na podvrženou zdrojovou IP adresu požadavku (např. nezabezpečené NTP servery).
Ukázka reportu ČDT-MONITOR
10
konkrétní zákazník – 99 událostí za 24 hodin
Zhodnocení po roce a půl provozu
11
odhaleno stovky infikovaných zařízení�
útoky ze stanic nic netušících uživatelů�
komunikace botnet sítí�
rozesílání nevyžádané pošty�
DDoS útoky�
Útoky 25. – 27. 8. 2014
12
DDoS útoky na zákazníka v síti ČD - Telematikaútok pouze přes 2 zahraniční poskytovatelenavýšení provozu u jednoho zahraničního z 2 Gbps na 8 Gbps
navýšení provozu u druhého zahraničního z 4 Gbps na 8 Gbps
Jak se bránit?
13
pomocí ČDT-Monitor vyhledávat předem riziková místa/služby příprava krizových scénářů odfiltrování bezpečného provozu
manuálně jinamtechnickými prostředky – odfiltrování DDoS útoku
centrální antiDDoS řešení (aktivní) v síti ČD - Telematika v přípravě
Další krok k internetové bezpečnosti
14
FENIX - projekt v rámci NIXu pro případ masivního útoku na český Internet podmínka vstupu - splnění bezpečnostních kritérií (CERT tým,
DNS SEC, monitoring, …) převedení provozu do samostatné VLAN v rámci NIXu zakládající členové – ACTIVE 24, CESNET, CZ.NIC, Dial Telecom,
Seznam.cz a O2 vstupující ČD - Telematika
FENIX – jak to pomůže ISP?
15
připojení od člena FENIXu nastavení bezpečnostních pravidel mezi ISP a členem FENIXu
zajištění bezpečnosti zákazníků ISP
Děkuji za pozornost
KontaktČD - Telematika a.s.
Jan Bartošobchodní manažertel.: 724 460 412e-mail: [email protected]
ČD - Telematika a.s.Korespondenční adresa
Pod Táborem 369/8a | 190 00 Praha 9tel.: +420 972 225 555
e-mail: [email protected]
Sídlo společnostiPernerova 2819/2a | 130 00 Praha 3
IČ: 61459445 | DIČ: CZ61459445vedená u Městského soudu v Praze, spisová značka B 8938