Monitoring provozu poskytovatelů internetu INVEA-TECH FlowMon 31. 5. 2013
OBSAH O ČD-T IP služby ČDT Pilotní provoz FlowMon ADS ISP 2
O ČD Telematika I. DŮLEŽITÉ MILNÍKY V HISTORII ČD - Telematika 1994 Založení ČD - Telekomunikace 1999 Začátek výstavby optické sítě 2002 Spuštění provozu SDH sítě, zahájení obchodního působení 2005 Rozšíření nabídky o produkty z oblasti informatiky. Změna názvu na ČD - Telematika a.s. 2010 Upgrade přenosových sítí DWDM a IPNET pro L2/L3 služby 2011 Strategický projekt páteřní sítě pro mobilního operátora 3
O ČD Telematika II. NAŠE ZÁZEMÍ 3 500 km optických tras, 123 043 km optických vláken Optická síť ve více než 400 přípojných bodech Metropolitní sítě ve 26 velkých městech Robustní páteřní síť s 80 kanálovým DWDM systémem a N x 10 Gbps L2/L3 sítí Velkoobchodní prodej a prodej do státní správy 4
5 OPTICKÁ SÍŤ v roce 2013
Páteřní L3 síť ČD - Telematika a.s Páteřní sít dvojitá DWDM hvězda mezi core PoPy s kapacitou N x 10 Gb/s přístupové sítě s kapacitou 10 Gb/s propojení 2 x 10 Gb/s do zahraničí a 2 x 10 Gb/s do NIXu dual-stack = nativní koexistence IPv4 a IPv6 ve společném prostředí Prodej konektivity služby na celém území ČR kapacita 2 Mb/s 2 Gb/s prodáno cca 25 Gb/s 6
FlowMon ADS ISP edice monitorování a detekce anomálií na internetovém provozu pilotní provoz - dva týdny na podzim 2012 10 zákazníků zaměřeno na: útoky anomálie zejména ze stanic v ČR 7
Vybrané metody Telnet zvýšené použití služby Telnet. Detekuje veškeré spojení, včetně pokusů o spojení na TCP port 23 a pro jednotlivé IP adresy počítá počty těchto spojení; SSHDICT pokusy o uhodnutí uživatelského jména/hesla, případně přihlášení podvrženým certifikátem ke službě SSH. Metoda je schopna rozpoznat úspěšný/neúspěšný útok; OUTSPAM odesílání nebo pokusy o odesílání zvýšeného počtu e-mailů z konkrétních IP adres; SCANS různé typy scanování sítě a způsoby provedení. Součástí detailů je počet unikátních scanů, zpráva o případné odpovědi scanované IP adresy a seznam dotčených portů. Indikuje zavirované IP adresy v síti; DNSQUERY zvýšený počet DNS dotazů z konkrétních IP adres; DNSANOMALY podezřelá komunikaci DNS provozu; BLACKLIST kontrola provozu (podle přiřazených filtrů) a rozpoznání komunikace s IP adresami uvedenými na blacklistu; RDP Dictionary Attacks rozpoznává pokusy o uhádnutí uživatelského jména a hesla do služby RDP. Slovníkové útoky jsou široce rozšířenou a oblíbenou metodou pro získání neautorizovaného přístupu do počítačového systému. 8
Výsledky pilotního provozu - typické nálezy I. IP adresa, která systematicky skenovala na IP adresách z celého světa port 23 (Telnet) a pokud skenovaná IP adresa odpověděla, tak následoval pokus o připojení; IP adresa, která systematicky útočila na IP adresy v Rumunsku na port 3389 (Windows Remote Desktop); několik IP adres v různých sítích, které pravděpodobně sloužily k rozesílání spamu, v jednom případě rozesílání velkého množství e-mailů na adresy v Taiwanu; IP adresa, která systematicky útočila na port 22 (SSH) na IP adresách z celého světa; několik IP adres u různých operátorů infikovaných Spy-Eye/ZeuS malware byla zachycena komunikace se známým C&C centrem několik IP adres, na kterých byla zachycena nestandardní DNS komunikace (přesun DNS zóny do Izraele a Indie) 9
Výsledky pilotního provozu - typické nálezy II. mimo uvedených potenciálně závažných incidentů detekovány stovky skenů jako průvodních jevů BitTorrent skenů z internetu na adresy v ČR slovníkových útoků na službu SSH nebo Telnet 10
11 Zasílání reportů
Přínos pro ISP rychlé a jednoduché odhalení rizikového provozu v internetové konektivitě rychlá eliminace rizikového provozu snížení zátěže na aktivních prvcích 12
Produkt ČDT Monitor od 1. 5. 2013 pro zákazníky ČDT s internetovou konektivitou možnost nastavení na jednu/všechny služby zasílání reportů nastavování parametrů prostřednictvím pracovníků ČDT bez nutnosti investice na straně zákazníka 13
Děkuji za pozornost Kontakt ČD - Telematika a.s. Tomáš Havlíček Produktový manažer tel.: 724 013 768 e-mail: tomas.havlicek@cdt.cz ČD - Telematika a.s. Korespondenční adresa Pod Táborem 369/8a 190 00 Praha 9 tel.: +420 972 225 555 e-mail: poptavka@cdt.cz Sídlo společnosti Pernerova 2819/2a 130 00 Praha 3 IČ: 61459445 DIČ: CZ61459445 vedená u Městského soudu v Praze, spisová značka B 8938