Bezpečnost internetových služeb v ČD-T

Kam kráčí bezdrátové sítě, Srní 2014

5. 9. 2014

OBSAH

O ČD - Telematika (ČD-T)

IP služby ČD-T

ČDT - MONITOR

Útoky na zákazníky ČD-T

FENIX

2

Důležité milníky v historii

3

1994 Založení ČD - Telekomunikace

1999 Začátek výstavby optické sítě

2002 Spuštění provozu SDH sítě, zahájení obchodního působení

2005 Rozšíření nabídky o produkty z oblasti informatiky. Změna názvu na ČD - Telematika a.s.

2010 Upgrade přenosových sítí DWDM a IPNET pro ethernetové služby

2011 Strategický projekt páteřní sítě pro mobilního operátora

Naše zázemí

4

3 500 km optických tras, 123 043 km optických vláken

Optická síť ve více než 400 přípojných bodech

Metropolitní sítě ve 26 velkých městech

Robustní páteřní síť s 80 kanálovým DWDM systémem a N x 10 Gbps ethernetová síť

Velkoobchodní prodej a prodej do státní správy

OPTICKÁ SÍŤ v roce 2014

5

Páteřní ethernet síť ČD - Telematika a.s

6

Páteřní sít dvojitá DWDM hvězda mezi core PoPy s kapacitou N x 10 Gb/s přístupové sítě s kapacitou 10 Gb/s propojení 3 x 10 Gb/s do zahraničí a 2 x 10 Gb/s do NIXu dual-stack = nativní koexistence IPv4 a IPv6 ve společném

prostředí

Prodej konektivity služby na celém území ČR kapacita 2 Mb/s – 3 Gb/s prodáno cca 56 Gb/s

Prostor pro novou službu

7

množství útoků a zneužití sítě zejména k DDoS útokům stále vzrůstá běžný ISP přenáší data a bezpečnost neřeší

často na to není ani vybaven ale zná koncového uživatele�

ČDT-MONITOR

Jak funguje ČDT-MONITOR?

8

máte konektivitu od ČD T a požádáte o službu‐ tým ČD T aktivuje službu a nastaví reporting‐ provoz IP adres ISP je automaticky vyhodnocován

(hned po aktivaci bez learning období) zjištěné incidenty jsou reportovány e mailem‐ ISP může na vzniklou situaci rychle reagovat

notifikovat koncového zákazníka�omezit služby, …�

Vybrané metody

9

Telnet – zvýšené použití služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení;

SSHDICT – pokusy o uhodnutí jména/hesla, případně přihlášení podvrženým certifikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok;

OUTSPAM – odesílání nebo pokusy zvýšeného počtu e-mailů z konkrétních IP adres; SCANS – různé typy scanování sítě a způsoby provedení – počet unikátních scanů, zpráva o

odpovědi scanované IP adresy a seznam portů. Indikuje zavirované IP adresy; DNSQUERY – zvýšený počet DNS dotazů z konkrétních IP adres; DNSANOMALY – podezřelá komunikaci DNS provozu; BLACKLIST – kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami

uvedenými na blacklistu; RDP Dictionary Attacks – rozpoznává pokusy o uhádnutí uživatelského jména a hesla do služby

RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému.

REFLECTDOS Amplificated DoS attack – detekuje DoS útoky, které využívají ke svému zesílení nedostatků některých služeb. Umožňují vygenerovat pro specifický požadavek několikanásobně větší odpověď, a to k jejímu odeslání na podvrženou zdrojovou IP adresu požadavku (např. nezabezpečené NTP servery).

Ukázka reportu ČDT-MONITOR

10

konkrétní zákazník – 99 událostí za 24 hodin

Zhodnocení po roce a půl provozu

11

odhaleno stovky infikovaných zařízení�

útoky ze stanic nic netušících uživatelů�

komunikace botnet sítí�

rozesílání nevyžádané pošty�

DDoS útoky�

Útoky 25. – 27. 8. 2014

12

DDoS útoky na zákazníka v síti ČD - Telematikaútok pouze přes 2 zahraniční poskytovatelenavýšení provozu u jednoho zahraničního z 2 Gbps na 8 Gbps

navýšení provozu u druhého zahraničního z 4 Gbps na 8 Gbps

Jak se bránit?

13

pomocí ČDT-Monitor vyhledávat předem riziková místa/služby příprava krizových scénářů odfiltrování bezpečného provozu

manuálně jinamtechnickými prostředky – odfiltrování DDoS útoku

centrální antiDDoS řešení (aktivní) v síti ČD - Telematika v přípravě

Další krok k internetové bezpečnosti

14

FENIX - projekt v rámci NIXu pro případ masivního útoku na český Internet podmínka vstupu - splnění bezpečnostních kritérií (CERT tým,

DNS SEC, monitoring, …) převedení provozu do samostatné VLAN v rámci NIXu zakládající členové – ACTIVE 24, CESNET, CZ.NIC, Dial Telecom,

Seznam.cz a O2 vstupující ČD - Telematika

FENIX – jak to pomůže ISP?

15

připojení od člena FENIXu nastavení bezpečnostních pravidel mezi ISP a členem FENIXu

zajištění bezpečnosti zákazníků ISP

Děkuji za pozornost

KontaktČD - Telematika a.s.

Jan Bartošobchodní manažertel.: 724 460 412e-mail: jan.bartos@cdt.cz

ČD - Telematika a.s.Korespondenční adresa

Pod Táborem 369/8a | 190 00 Praha 9tel.: +420 972 225 555

e-mail: poptavka@cdt.cz

Sídlo společnostiPernerova 2819/2a | 130 00 Praha 3

IČ: 61459445 | DIČ: CZ61459445vedená u Městského soudu v Praze, spisová značka B 8938