Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací...
Transcript of Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací...
![Page 1: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/1.jpg)
Bezpečná VLANMartin Semrád
IT 14Praha, 22.5.2014
![Page 2: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/2.jpg)
Představení NIX.CZ
• Neutrální propojovací platforma
• 5 datových center
• 119 připojených sítí
• 41 mezinárodních sítí
• 286,5 Gbps maximální datový tok
• Zaštiťuje projekt Bezpečná VLAN
![Page 3: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/3.jpg)
Bezpečná VLAN
• Odpověď na útoky z 3/2013
trvající 4 dny
• Mnoho cílů v CZmédia, banky, mobilní operátoři, Seznam.cz
• Zdroj útoků mimo CZ
• Přes transit i NIX.CZ
• Žádná odpověď od zdroje
![Page 4: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/4.jpg)
Bezpečná VLAN
• Klub vzájemně „důvěryhodných“• Technický nástroj „Bezpečná VLAN“• CZ uživatelé se potřebují dostat na CZ zdroje
home banking, média, email …
• Možnost fungování v ostrovním režimuřešení poslední možnosti
• Dříve než přijde regulace• Vysoká kritéria pro vstup
![Page 5: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/5.jpg)
Bezpečná VLANorganizační pravidla
• Převedení pravidel až na koncového uživatelespam, attacks
• 24x7 technický kontakt žádné IVR
• CSIRT teamZalistovaný u Trusted Introducer, Terena
• Více než 6 měsíců v NIX.CZ• Aktivní účast na WG NIX.CZ• Doporučení od 2 členů, žádné veto
![Page 6: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/6.jpg)
Bezpečná VLANtechnická pravidla
• BCP-38/SAC004 – granularita /24 (/48)• RTBH využívající RS• IPv6, DNSSEC – na důležitých doménách• Plná redundance připojení do NIX.CZ• Monitoring sítě (MRTG, NetFlow, ...)• Control plane policy RFC6192• DNS, NTP, SNMP amplification protection• Reakční čas na bezpečnostní incident <30min• BGP – TCP MD5
![Page 7: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/7.jpg)
Bezpečná VLANstart
• 6 společností zakládá projekt – leden 14Active 24, CESNET, CZ.NIC, Dial telecom, Seznam.cz, Telefonica Czech Republic
• NIX.CZ jako arbitr dodržování pravidel
![Page 8: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/8.jpg)
Bezpečná VLANaktuální stav
• První schůzka zakladatelů
• Úprava pravidel
• Jednaní s dalšími zájemci
• Základní struktura značky
![Page 9: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/9.jpg)
Bezpečná VLAN
Nyní zapomeňme
název
Bezpečná VLAN
![Page 10: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/10.jpg)
![Page 11: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/11.jpg)
Sledujte nás
.. a také na www.nix.cz
![Page 12: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/12.jpg)
Bezpečná VLANorganizační pravidla
• Převedení pravidel až na koncového uživatelespam, attacks
• 24x7 technický kontakt žádné IVR
• CSIRT teamZalistovaný u Trusted Introducer, Terena
• Více než 6 měsíců v NIX.CZ• Aktivní účast na WG NIX.CZ• Doporučení od 2 členů, žádné veto
![Page 13: Bezpečná VLAN - CZ.NIC · 2014. 5. 27. · Představení NIX.CZ •Neutrální propojovací platforma •5 datových center •119 připojených sítí •41 mezinárodních sítí](https://reader033.fdocument.pub/reader033/viewer/2022061004/60b2a9e855577771692204e0/html5/thumbnails/13.jpg)
Bezpečná VLANtechnická pravidla
• BCP-38/SAC004 – granularita /24 (/48)• RTBH využívající RS• IPv6, DNSSEC – na důležitých doménách• Plná redundance připojení do NIX.CZ• Monitoring sítě (MRTG, NetFlow, ...)• Control plane policy RFC6192• DNS, NTP, SNMP amplification protection• Reakční čas na bezpečnostní incident <30min• BGP – TCP MD5