Monitoring provozu poskytovatelů internetu

Monitoring provozu poskytovatelů internetu INVEA-TECH FlowMon

31. 5. 2013

OBSAH

• O ČD-T

• IP služby ČDT • Pilotní provoz FlowMon ADS ISP

2

O ČD – Telematika I.

DŮLEŽITÉ MILNÍKY V HISTORII ČD - Telematika 1994

Založení ČD - Telekomunikace

1999

Začátek výstavby optické sítě

2002

Spuštění provozu SDH sítě, zahájení obchodního působení

2005 Rozšíření nabídky o produkty z oblasti informatiky. Změna názvu na ČD - Telematika a.s. 2010 Upgrade přenosových sítí DWDM a IPNET pro L2/L3 služby 2011 Strategický projekt páteřní sítě pro mobilního operátora

3

O ČD – Telematika II. NAŠE ZÁZEMÍ

• 3 500 km optických tras, 123 043 km optických vláken • Optická síť ve více než 400 přípojných bodech • Metropolitní sítě ve 26 velkých městech

• Robustní páteřní síť s 80 kanálovým DWDM systémem a N x 10 Gbps L2/L3 sítí • Velkoobchodní prodej a prodej do státní správy

4

OPTICKÁ SÍŤ v roce 2013

5

Páteřní L3 síť ČD - Telematika a.s Páteřní sít • • • •

dvojitá DWDM hvězda mezi core PoPy s kapacitou N x 10 Gb/s přístupové sítě s kapacitou 10 Gb/s propojení 2 x 10 Gb/s do zahraničí a 2 x 10 Gb/s do NIXu dual-stack = nativní koexistence IPv4 a IPv6 ve společném prostředí

Prodej konektivity • • •

6

služby na celém území ČR kapacita 2 Mb/s – 2 Gb/s prodáno cca 25 Gb/s

FlowMon ADS – ISP edice

• • • •

monitorování a detekce anomálií na internetovém provozu pilotní provoz - dva týdny na podzim 2012 10 zákazníků zaměřeno na: • útoky • anomálie • zejména ze stanic v ČR

7

Vybrané metody  Telnet – zvýšené použití služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení;  SSHDICT – pokusy o uhodnutí uživatelského jména/hesla, případně přihlášení podvrženým certifikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok;  OUTSPAM – odesílání nebo pokusy o odesílání zvýšeného počtu e-mailů z konkrétních IP adres;  SCANS – různé typy scanování sítě a způsoby provedení. Součástí detailů je počet unikátních scanů, zpráva o případné odpovědi scanované IP adresy a seznam dotčených portů. Indikuje zavirované IP adresy v síti;  DNSQUERY – zvýšený počet DNS dotazů z konkrétních IP adres;  DNSANOMALY – podezřelá komunikaci DNS provozu;  BLACKLIST – kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami uvedenými na blacklistu;  RDP Dictionary Attacks – rozpoznává pokusy o uhádnutí uživatelského jména a hesla do služby RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému.

8

Výsledky pilotního provozu - typické nálezy I.  IP adresa, která systematicky skenovala na IP adresách z celého světa port 23 (Telnet) a pokud skenovaná IP adresa odpověděla, tak následoval pokus o připojení;  IP adresa, která systematicky útočila na IP adresy v Rumunsku na port 3389 (Windows Remote Desktop);  několik IP adres v různých sítích, které pravděpodobně sloužily k rozesílání spamu, v jednom případě rozesílání velkého množství e-mailů na adresy v Taiwanu;  IP adresa, která systematicky útočila na port 22 (SSH) na IP adresách z celého světa;  několik IP adres u různých operátorů infikovaných Spy-Eye/ZeuS malware – byla zachycena komunikace se známým C&C centrem  několik IP adres, na kterých byla zachycena nestandardní DNS komunikace (přesun DNS zóny do Izraele a Indie) 9

Výsledky pilotního provozu - typické nálezy II. • mimo uvedených potenciálně závažných incidentů detekovány stovky • skenů jako průvodních jevů BitTorrent • skenů z internetu na adresy v ČR • slovníkových útoků na službu SSH nebo Telnet

10

Zasílání reportů

11

Přínos pro ISP • rychlé a jednoduché odhalení rizikového provozu v internetové konektivitě • rychlá eliminace rizikového provozu • snížení zátěže na aktivních prvcích

12

Produkt ČDT – Monitor

• od 1. 5. 2013 pro zákazníky ČDT s internetovou konektivitou • možnost nastavení na jednu/všechny služby • zasílání reportů • nastavování parametrů prostřednictvím pracovníků ČDT • bez nutnosti investice na straně zákazníka

13

Děkuji za pozornost Kontakt ČD - Telematika a.s. Tomáš Havlíček Produktový manažer tel.: 724 013 768 e-mail: [email protected]

ČD - Telematika a.s. Korespondenční adresa Pod Táborem 369/8a | 190 00 Praha 9 tel.: +420 972 225 555 e-mail: [email protected] Sídlo společnosti Pernerova 2819/2a | 130 00 Praha 3 IČ: 61459445 | DIČ: CZ61459445 vedená u Městského soudu v Praze, spisová značka B 8938