Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Podobné dokumenty
Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Monitoring provozu poskytovatelů internetu

TELEKOMUNIKAČNÍ SÍŤ ČD- T

DDoS útoky a jak se jim bránit

Detekce volumetrických útoků a jejich mi4gace v ISP

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Kybernetické hrozby - existuje komplexní řešení?

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Proč prevence jako ochrana nestačí? Luboš Lunter

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

FlowMon Monitoring IP provozu

Útoky DoS a DDoS. Přehled napadení. Projektování distribuovaných systémů Ing. Jiří ledvina, CSc. Lokální útoky. Vzdálené útoky

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Technická analýza kyberútoků z března 2013

Kybernetické hrozby jak detekovat?

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Výzkum v oblasti kybernetické bezpečnosti

DoS útoky v síti CESNET2

Monitorování datových sítí: Dnes

Služba ComSource Hybrid AntiDDoS aneb Pračka v Cloudu ISPA Forum 2015

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Monitorování a bezpečnostní analýza

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

FlowMon Vaše síť pod kontrolou!

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Koncept. Centrálního monitoringu a IP správy sítě

Behaviorální analýza provozu sítě (internet uplink) UP

Projekt obranného výzkumu CYBER bezpečnost informačních a komunikačních systémů AČR

Datové služby. Písemná zpráva zadavatele

Firewall, IDS a jak dále?

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Vývoj Internetových Aplikací

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

SÍŤOVÁ INFRASTRUKTURA MONITORING

Praktické ukázky, případové studie, řešení požadavků ZoKB

Co vše přináší viditelnost do počítačové sítě?

Koncept centrálního monitoringu a IP správy sítě

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Firewall, IDS a jak dále?

Strategie sdružení CESNET v oblasti bezpečnosti

Provozně-bezpečnostní monitoring datové infrastruktury

FlowGuard 2.0. Whitepaper

Flow monitoring a NBA

}w!"#$%&'()+,-./012345<ya

Aktuální hrozby internetu. 1.Trojské koně (malware) 2.Phishing 3.Sociální sítě

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Flow Monitoring & NBA. Pavel Minařík

BEZPEČNOSTNÍ MONITORING SÍTĚ

Nasazení a využití měřících bodů ve VI CESNET

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Jak využít NetFlow pro detekci incidentů?

DDoS útoky a jak se jim bránit

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

Co se skrývá v datovém provozu?

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Jak přežít DDoS? IDG Cyber Security Martin Půlpán CEO net.pointers s.r.o.

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

FlowMon Vaše síť pod kontrolou

Bezpečnost sítí útoky

Proč, kde a jak nasazovat flow monitoring a behaviorální analýzu

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

bit/pa-os.d 18. dubna

Bezpečná a efektivní IT infrastruktura

Architektura připojení pro kritické sítě a služby

Bezpečnostní monitoring v praxi. Watson solution market

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Aktivní bezpečnost sítě

Řešení jádra sítě ISP na otevřených technologiích

BEHAVIORÁLNÍ ANALÝZA SÍŤOVÉHO PROVOZU

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

ComSource Efektivní ochrana kritických infrastruktur IT Security Workshop 2016 Jaroslav Cihelka

Bezpečnostní analýzy provozu jako prevence před šířením virů a jiných útoků (IDPS)

Typy bezpečnostních incidentů

Antispamové technologie

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

DDoS a IDS/IPS ochrana u WEDOS

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Flowmon. Altron Congress Artur Kane, Flowmon Evangelist

Filter online threats off your network

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Útoky na DNS. CZ.NIC Labs. Emanuel Petr IT10, Praha

Práce s ovými schránkami v síti Selfnet

Geolokace a bezpečnost počítačových sítí

Transkript:

Problematika internetové bezpečnosti a obrany proti DDoS útokům Ing. Tomáš Havlíček Produktový manažer 11 11 2015

Účast v projektu FENIX ČD-T a internetová bezpečnost ČDT-MONITOR detekce bezpečnostních rizik v internetové konektivitě ČDT-AntiDDoS čištění provozu při DDoS útoku ve scrubbing centru 2

Projekt FENIX vznikl v prostředí NIXu nouzový prostředek vzájemné komunikace mezi členy NIXu v případě rozsáhlého útoku na český internet atomový bunkr postaveno na vzájemné důvěře členů projektu založeno několika členy NIXu přistoupení dalších na základě: splnění technických požadavků nastavení procesů důvěra existujících členů 3

ČDT-Monitor detekce bezpečnostních rizik v internetové konektivitě Flowmon sondy omezený počet vybraných metod report zákazníkovi denně/týdně 4

Vybrané metody I. Telnet zvýšené použití služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení; SSHDICT pokusy o uhodnutí jména/hesla, případně přihlášení podvrženým certifikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok; OUTSPAM odesílání nebo pokusy zvýšeného počtu e-mailů z konkrétních IP adres; SCANS různé typy scanování sítě a způsoby provedení počet unikátních scanů, zpráva o odpovědi scanované IP adresy a seznam portů. Indikuje zavirované IP adresy; DNSQUERY zvýšený počet DNS dotazů z konkrétních IP adres; DNSANOMALY podezřelá komunikaci DNS provozu; BLACKLIST kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami uvedenými na blacklistu; 5

Vybrané metody II. RDP Dictionary Attacks rozpoznává pokusy o uhádnutí uživatelského jména a hesla do služby RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému. REFLECTDOS Amplificated DoS attack detekuje DoS útoky, které využívají ke svému zesílení nedostatků některých služeb. Umožňují vygenerovat pro specifický požadavek několikanásobně větší odpověď, a to k jejímu odeslání na podvrženou zdrojovou IP adresu požadavku (např. nezabezpečené NTP servery). DOS Detekční metoda odhaluje útoky typu Denial-of-Service nebo Distributed-Denial-of-Service. S využitím historických dat je pro každou dávku NetFlow dat předpovězena hranice, při jejímž překročení dojde k vygenerování události. Metoda spolehlivě upozorní na DoS/DDoS útoky zadaného minimálního rozsahu. 6

Příběh zákazníka zahoryzadoly-net I. zákazník ČD-T 2 roky 250 Mbps konektivity 7

25. 28. 8. 2015 opakované a cílené útoky na konkrétní IP adresu zákazníka Příběh zákazníka zahoryzadoly-net II. po zablokování IP se útočník rychle adaptoval a útočil dále na novou IP adresu přístupová linka 250 Mbps útok cca 8 Gbps v součtu útoky o délce 1 2 hodin v době špičky UDP Flood prostřednictvím NTP serverů ve světě obdobný případ cca 2x měsíčně 8

Co s tím?? Zablokovat celý rozsah IP adres filtry RTBH do sítě ale nejde ani legitimní provoz ČD - Telematika poskytuje ČDT-ANTIDDOS vyčištění provozu ve scrubbing centru 9

Trocha teorie nikoho nezabije Cílem útoků typu odepření služby (Denial of Service, zkráceně DoS), zamezení autorizovaného přístupu k systémovým zdrojům nebo zdržení operací a funkcí systému DDoS útoky (Distributed Denial of Service), útočník využívá různý počet strojů, aby byl útok úspěšnější a pro oběť obtížněji zastavitelný. Pokud útočník při DoS/DDoS útoku uspěje, cílový stroj, služba nebo síť se stane nedostupnou. 10

Efektivní obrana Prevence útoky jsou motivovány politicky nebo ekonomicky čistota sítě ne/zabezpečené prvky botnety, spam stroje Detekce monitoring flow - sondy na všech vstupech/výstupech z ASN behaviorální analýza Obrana filtry RTBH čištění scrubbing, mitigace 11

ČDT-ANTIDDOS technologické zázemí detekce útoku a automatické přesměrování provozu sondy Flowmon, modul DDoS Defender scrubbing centrum RADWARE DefensePro, kapacita 10 Gbps legitimního provozu + 12 Gbps útoku 12

ČDT-ANTIDDOS Proti čemu chrání Volumetrické (objemové) útoky útoky generované známými nástroji dostupnými na Internetu DDoS útoky generované známými botnety SYN FLOOD, TCP ACK + FIN FLOOD, TCP RST FLOOD, TCP SYN + ACK FLOOD, TCP fragmentation FLOOD, UDP FLOOD, ICMP FLOOD, IGMP FLOOD 13

14 ČDT-ANTIDDOS provozní schéma

15 ČDT-ANTIDDOS časová osa

ČDT-ANTIDDOS Průběh útoku z pohledu postiženého serveru průběh útoku, který je směřován do ČD-T AntiDDoS řešení vyčištěná data, která opouští ČD-T AntiDDoS řešení 16

ČDT-ANTIDDOS varianty produktu Připraveno k čištění provoz mimo scrubbing centrum detekce útoku prostřednictvím flowmon sond přesměrování do scrubbing centra začátek čištění do 15 minut od zahájení útoku Trvalé čištění provoz trvale přes scrubbing centrum zahájení útoků do 2 minut od zahájení provozu 17

ČDT-ANTIDDOS výhody automatizace odpadá ruční práce rychlost odpadá hlášení problému a komunikace techniků, dohledů spolehlivost cena 18

Dotazy? Kontakt ČD - Telematika a.s. Ing. Tomáš Havlíček Produktový manažer e-mail: tomas.havlicek@cdt.cz ČD - Telematika a.s. Korespondenční adresa Pod Táborem 369/8a 190 00 Praha 9 tel.: +420 972 225 555 e-mail: poptavka@cdt.cz Sídlo společnosti Pernerova 2819/2a 130 00 Praha 3 IČ: 61459445 DIČ: CZ61459445 vedená u Městského soudu v Praze, spisová značka B 8938

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář