TELEKOMUNIKAČNÍ SÍŤ ČD- T

Podobné dokumenty
Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Problematika internetové bezpečnosti a obrany proti DDoS útokům. Ing. Tomáš Havlíček Produktový manažer

Monitoring provozu poskytovatelů internetu

České Radiokomunikace Martin Novák, Robert Kolman

SÍŤOVÁ INFRASTRUKTURA MONITORING

České Radiokomunikace

POPIS SLUŽBY CARRIER INTERNET

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

CESNET a akademická sféra , Josef Baloun, Systémový inženýr

Flow Monitoring & NBA. Pavel Minařík

Síťová bezpečnost v projektu státní maturity. GTS Managed Security

JEDNO Z NEJVĚTŠÍCH ČESKÝCH DATACENTER

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Výhledy v telekomunikační technici v nfrastruktuře SŽDC

Detekce volumetrických útoků a jejich mi4gace v ISP

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Nabídka serverového řešení SERVER HOSTING 1/7

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

Softwarově řízená optická infrastruktura pro podporu experimentů

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Ceník server hosting umístění technologie, pronájem okruhů a ostatní související služby

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Kybernetické hrozby - existuje komplexní řešení?

Jedno vlákno pro všechny

CARRIER ETHERNET MULTI POPIS SLUŽBY, CENY ZA PRODEJ, INSTALACI A SERVIS

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

UPC ČeskoSlovensko & CEE

SOUČASNOST A BUDOUCNOST SÍTĚ CESNET SÍŤOVÁ KOMUNIKAČNÍ INFRASTRUKTURA CESNET2

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Technologie bezdrátových sítí. Nové generace bezdrátových sítí s vysokou kapacitou přenosu. Ing. David Němec

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

CARRIER ETHERNET PROFI POPIS SLUŽBY, CENY ZA PRODEJ, INSTALACI A SERVIS

České Radiokomunikace. TINF 2012 Sdílení sítí 4. generace. Marcel Procházka Head of Strategy & Business Development. 27.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

RLC Praha a.s. GPON sítě a jak dál? Jaromír Šíma

CENOVÁ NABÍDKA. INTERNETOVÉ PŘIPOJENÍ 5-80Ghz PE3NY NET s.r.o.

Vývoj a fungování peeringu v IXP. Petr Jiran - NIX.CZ CTO CSNOG

ČeskoSlovenská. Federativní Telekomunika ční Infrastruktura. Kam kráčajú telekomunikačné siete 2017 Jasná, /100

Výzvy IOP č. (04), 06, 08, 09

Počítačová síť ve škole a rizika jejího provozu

Strategie sdružení CESNET v oblasti bezpečnosti

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

CESNET A SÍŤ ZČU. Michal Petrovič

PROJEKT FENIX Petr Jiran NIX.CZ. EurOpen.CZ VZ Měřín

Co znamená IPv6 pro podnikovou informatiku.

Příloha č. 5. Technické zadání. Smržovka Vybudování MKDS v rámci mikroregionu Tanvaldsko

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

Budování sítě v datových centrech

Koncept. Centrálního monitoringu a IP správy sítě

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Páteřní optická síť kraje Vysočina

FlowMon Vaše síť pod kontrolou

Nabídka serverového řešení SERVER HOSTING. pro VIP zákazníky

Průmyslové managed switche LAN-RING

Wi-Fi aplikace v důlním prostředí. Robert Sztabla

O2 Datové centrum. Komerční housing serverů

TECHNICKÁ SPECIFIKACE ÚČASTNICKÝCH ROZHRANÍ. POSKYTOVANÝCH SPOLEČNOSTÍ OVANET a.s.

Optická přenosová platforma

Česká telekomunikační infrastruktura a.s. CETIN - nabídka pro ISPs

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Motorola GPON v reálném nasazení. Antonín Mlejnek mlejnek@edera.cz. EDERA Group a.s.

DoS útoky v síti CESNET2

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Metropolitní síť v Plzni a její služby. PilsEDUNet

CENOVÁ NABÍDKA. INTERNETOVÉ PŘIPOJENÍ NA OPTICKÉ SÍTI PE3NY NET s.r.o.

KIVS setkání Další postup realizace KIVS

Průmyslový Ethernet. Martin Löw

Standard pro připojení do CMS. Definice rozhraní mezi CMS a Operátorem

Moderní měřicí technika v optických komunikacích,

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

TYPICKÝ POHLED OPERÁTORA KABELOVÉ TELEVIZE NA SÍTĚ NGA

FlowGuard 2.0. Whitepaper

Identifikátor materiálu: ICT-3-03

Technická specifikace zařízení

PŘÍLOHA CARRIER IP CONNECT

PB169 Operační systémy a sítě

Měření a monitorování PMD trasy za provozu nebo bez provozu? Josef Beran, Jan Brouček. Měření a monitorování PMD trasy za provozu nebo bez provozu?

Témata profilové maturitní zkoušky

BEZPEČNOST CLOUDOVÝCH SLUŽEB

TECHNICKÁ SPECIFIKACE ÚČASTNICKÝCH ROZHRANÍ

Představení Kerio Control

Výzkum v oblasti kybernetické bezpečnosti

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

NETSPEC. e-learningové vzdělávání síťových specialistů. registrační číslo: CZ / /0010

současný stav a další rozvoj Martin Procházka Kraj Vysočina

Efektivní využití vláknové infrastruktury krajů, měst a společností

PŘEDSTAVENÍ SPOLEČNOSTI + Dohledové centrum

Jak se měří síťové toky? A k čemu to je? Martin Žádník

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

Perspektivy fixních telekomunikačních sítí. Ing. Jiří Vodrážka, Ph.D. Katedra telekomunikační techniky FEL ČVUT v Praze

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

3.13 Úvod do počítačových sítí

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

PŘEPÍNÁNÍ A SMĚROVÁNÍ OPTICKÝCH SIGNÁLŮ JE UŽ TO TADY?

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Transkript:

TELEKOMUNIKAČNÍ SÍŤ ČD- T Historie, současnost a budoucnost Spolehlivost a bezpečnost především Mgr. Jan Bartoš Konference kam kráčí bezdrátové sítě Plzeň 14. 9. 2017

OBSAH 1. Historie 2. Op[cká síť 3. SDH 4. DWDM 5. Páteřní Internetová síť 6. Data centrum 7. Bezpečnostní produkty 2

DŮLEŽITÉ MILNÍKY V HISTORII ČD - Telema;ky 1994 Založení ČD - Telekomunikace 1999 Začátek výstavby op;cké sítě 2002 Spuštění provozu SDH sítě, zahájení obchodního působení 2005 Rozšíření nabídky o produkty z oblas; informa;ky. 2010 Upgrade přenosových síb DWDM a IPNET pro L2/L3 služby 2011 Strategický projekt páteřní sítě pro mobilního operátora 3

NAŠE RODINNÉ STŘÍBRO 3 500 km op;ckých tras, 123 043 km op;ckých vláken Op;cká síť ve více než 400 přípojných bodech Metropolitní sítě ve 26 velkých městech Robustní páteřní síť s 80 kanálovým DWDM systémem a N x 10 Gbps L2/L3 síb Velkoobchodní prodej a prodej do státní správy 4

Nově budované trasy OPTIKA 1. Benešov Tábor 2. Bludov Hanušovice 3. HK Jaroměř 4. Zakruhování Benešova 5

OPTIKA První op;cký kabel byl položen v roce 1997 Brno Skalice 35 km Na trasách se pokládaly OK 36/72 Alcatel a Ericsson Následně 3 etapy, uskutečnili se pouze dvě etapy Dnes používáme kabely ofs 72/144 Optický kabel MiDia Mezi Libní a U2 DC 288 vláknové 6

OPTIKA výstavba a servis ČD - Telema[ka realizuje nové trasy a rekonstrukce stávajících ČD - Telema[ka se podílí na budování op[ckých tras pro SŽDC ČD - Telema[ka servisuje nejen vlastní op[ckou síť, ale i op[ku SŽDC Budování nových op[ckých tras především v synergii se zabezpečovacími projekty SŽDC. 7

SDH síť historie Synchronní Digitální Hiearchie 1. generace digitálních síf Rozvoj telefonních síf Síť postavená v kruhové topologii s na[vním přepínáním na zálohu do 50 ms Komerčně nabízíme od roku 2002 Lze nabídnout E1, E3, STM 1 až STM - 16 8

DWDM Propustnost 40/80 kanálů op[cká rozhraní 850 nm, 1310 nm, 1550 nm, CWDM, a DWDM kanál, Ethernet 10/ 100 Gbps, FiberChannel Možnost šifrování na úrovni ODU2 / ODU2e (256 bit) zpoždění signálu: max. 10 μs/km na přenosové trase je možné realizovat pro1,10,(40)/100 Gb/s okruhy variabilnost vydělování provozu v jednotlivých uzlech možnost expanze v libovolném uzlu do dalšího směru na vzdálenost do 80 km bez nutnos[ regenerace 9

DWDM Power budget celého systému byl nastaven tak, aby společně s funkcí automa[c power control umožnil nasazení služeb 1/10/ 40/100 Gb/s provozu beze bez nutnos[ manuální konfigurace jednotlivých komponent. Můžeme vytvořit kanál z pražské lokality přes Ostravu do jiné pražské lokality. Tento kanál na vzdálenost 1 048 km není nutno regenerovat. Aby bylo možné dynamicky měnit terminování provozu podle potřeb zákazníků jsou všechny lokality osazeny WSS ROADM moduly. Jedná se o dálkově rekonfigurovatelné mul[plexory s 50 GHz spacingem. 10

DWDM Pure WDM Applica;on 24 universal slots Photonics modules Service cards L1 service cards Photonic Layer TR100 Mux100 TR40 Mux40 TR10 AoC10 Regional/LH Applica;on 4 slots for 1Tbps universal fabric cards 20 universal slots Photonics modules Service cards L1 service cards L2 Data cards Client 100G Client 40G 10G Line/ Client GbE L2 10GbE L2 Photonic Layer ODU-XC Packet Switching Line 100G Line 40G Low Rate 100GbE L2 Packet- OTS Applica;on 2 slots for 100G fabric cards 22 universal slots Photonics modules Service cards L1 service cards L2 Data cards TR100 TR40 TR10 GbE L2 Photonic Layer 100G Data Fabric Mux100 Mux40 AoC10 10GbE L2 CESR Apllica;on 4 slots for 1Tbps universal fabric cards 20 universal slots Service cards L2 Data cards GbE L2 10GbE L2 GbE L2 10GbE L2 Packet Switching 100GbE L2 100GbE L2 11 11 11

DWDM Izraelská firma ECI Technologii používáme v sí[ více jak 12 let Lze nabízet i ve variantě šifrování DWDM kanálů Důraz na bezpečnost Proškolený technický personál s dlouholetou praxi Reference dodavatele v Evropě : Akademická síť DFN (obdoba CESNETU) Bezeq - Izraelská telekomunikační společnost Tzahal - Izraelská armáda IEC - Izraelská elektrárenská společnost SWITCH - Švýcarská univerzitní síť 12

L2 SÍŤ Poptávka po ethernetových okruzích Budování L2 sítě od roku 2006 Budovaná jako zálohovaná síť v kruhové topologii Současnost - páteřní kruhová topologie 2 x 10 Gbps Přístupová síť 1 x 10 Gbps Omezení počtu MAC adres pro jednotlivé služby Omezení s tunelováním některých L2 protokolů Maximální kapacita poskytovaných služeb 3 Gbps 13

L2 SÍŤ Nově budovaná síť - páteřní kruhová topologie 4 x 10 Gbps Přístupová síť 2 x 10 Gbps Není omezen počtu MAC adres pro jednotlivé služby Není omezeno tunelování některých L2 protokolů Maximální kapacita poskytovaných služeb 4 Gbps Červenec 2018 14

PÁTEŘNÍ INTERNETOVÁ INFRASTRUKTURA Konek[vita do páteřní sítě - 4x 10 Gb/s NIX, 4x10 Gb/s zahraničí, 4x10 Gb/s Google Připojených síf - cca 180 Zasmluvněný provoz - 90 Gb/s Reálný provoz ve špičce - 50 Gb/s in, 20 Gb/s out Ochrana před DDoS útoky Služba ČDT- ANTIDDOS 15

NOVÉ DATA CENTRUM 119 rackových pozic zabezpečení prostoru projektováno na stupeň utajení "Důvěrné" postaveno v souladu se specifikací TIER III výkon ICT 630 kw připojeno k vlastní op[cké páteřní sí[ z několika nezávislých směrů bezpečná zóna mimo záplavové území budova součásf kri[cké infrastruktury státu dobrá dopravní dostupnost, parkoviště pro zákazníky přístup oprávněných osob 24 hodin denně nepřetržitá podpora dohledového centra 16

NOVÉ DATA CENTRUM do každého racku přívod ze dvou nezávislých rozvaděčů každý rack samostatně měřený VN přípojka ze dvou směrů 1 MVA UPS N+1 s celkovým výkonem 700 kw 2x diesel agregát 1,5 MVA s náběhem do 60 s palivové nádrže 2 x 4000 L klima[zační jednotky N+1 klima[zace se systémem přímého výparu klima[zace freecooling 17

BEZPEČNOSTNÍ PRODUKTY ČDT- Monitor ČDT- An;DDOS 18

ČDT- MONITOR Telnet zvýšené použif služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení; SSHDICT pokusy o uhodnuf jména/hesla, případně přihlášení podvrženým cer[fikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok; OUTSPAM odesílání nebo pokusy zvýšeného počtu e- mailů z konkrétních IP adres; SCANS různé typy scanování sítě a způsoby provedení počet unikátních scanů, zpráva o odpovědi scanované IP adresy a seznam portů. Indikuje zavirované IP adresy; DNSQUERY zvýšený počet DNS dotazů z konkrétních IP adres; DNSANOMALY podezřelá komunikaci DNS provozu; BLACKLIST kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami uvedenými na blacklistu; RDP Dic;onary Ayacks rozpoznává pokusy o uhádnuf uživatelského jména a hesla do služby RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému. REFLECTDOS Amplificated DoS ayack detekuje DoS útoky, které využívají ke svému zesílení nedostatků některých služeb. Umožňují vygenerovat pro specifický požadavek několikanásobně větší odpověď, a to k jejímu odeslání na podvrženou zdrojovou IP adresu požadavku (např. nezabezpečené NTP servery). 19

20 ČDT- MONITOR

ČDT- ANTIDDOS Trocha teorie nikoho nezabije Cílem útoků typu odepření služby (Denial of Service, zkráceně DoS), zamezení autorizovaného přístupu k systémovým zdrojům nebo zdržení operací a funkcí systému DDoS útoky (Distributed Denial of Service), útočník využívá různý počet strojů, aby byl útok úspěšnější a pro oběť obfžněji zastavitelný. Pokud útočník při DoS/DDoS útoku uspěje, cílový stroj, služba nebo síť se stane nedostupnou. 21

22 ČDT- ANTIDDOS - provozní schéma

ČDT- ANTIDDOS SLUŽBY Připraveno k čištění Standardně provoz mimo scrubbing centrum Detekce útoku prostřednictvím řešení Flowmon Přesměrování do scrubbing centra Začátek čištění do 4 minut od zahájení útoku Trvalé čištění Provoz trvale přes scrubbing centrum Zahájení čištění do 1 minuty od startu útoku Emergency čištění Bez smlouvy ak[vuje NOC na žádost zákazníka Omezeno na 12 hodin, maximálně 3x ročně 23

ČDT- ANTIDDOS - VÝHODY ŘEŠENÍ Automa;zace Odpadá ruční práce Detekce i přesměrování se děje zcela automa[cky, pouze s no[fikací Rychlost Odpadá hlášení problému a komunikace techniků, dohledů Report o útoku je doručen automa[cky (zahájení i ukončení) Spolehlivost Realizováno způsobem, že se nemá v principu co pokazit 24

ČDT- ANTIDDOS Čas začátku/konce útoku Zdroj útoku Typ a status Objem provozu v průběhu útoku i mimo něj Cíle útoku (top 10 dst IPs, source subnets, L4 protokoly, kombinace TCP flagů ) 25

ČDT- ANTIDDOS Z Internetu do scrubbing centra Ze scrubbing centra k zákazníkovi 26

FENIX FÉNIX - projekt v rámci NIXu pro případ masivního útoku na český Internet podmínka vstupu - splnění bezpečnostních kritérií (CERT tým, DNS SEC, monitoring, a další ) převedení provozu do samostatné VLAN v rámci NIXu zakládající členové ACTIVE 24, CESNET, CZ.NIC, Dial Telecom, Seznam.cz a O2 ČD - Telema;ka v první vlně dalších členů 27

DĚKUJI ZA POZORNOST Kontakt ČD - Telema[ka a.s. Mgr. Jan Bartoš Pozice : Vedoucí odboru prodeje TS služeb tel.: 724460412 e- mail: jan.bartos@cdt.cz ČD - Telema;ka a.s. Korespondenční adresa Pod Táborem 369/8a 190 00 Praha 9 tel.: +420 972 225 555 e- mail: poptavka@cdt.cz Sídlo společnos; Pernerova 2819/2a 130 00 Praha 3 IČ: 61459445 DIČ: CZ61459445 vedená u Městského soudu v Praze, spisová značka B 8938

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář