Embed Size (px)
Citation preview
МаратФаттаховДиректорфилиала
«Инфосистемы»АК«Узбектелеком»
Информационная безопасностьв телекоммуникационных сетяхИнформационная безопасностьв телекоммуникационных сетяхРегиональныйсеминарМСЭ«Ключевыеаспектыкибер-безопасностивконтекстеИнтернетаВещей(IoT)»Ташкент,Узбекистан,18-19сентября2017
РегиональныйсеминарМСЭ«Ключевыеаспектыкибер-безопасностивконтекстеИнтернетаВещей(IoT)»Ташкент,Узбекистан,18-19сентября2017
МаратФаттаховДиректорфилиала
«Инфосистемы»АК«Узбектелеком»
Миссия:•Консолидация всей сферы IT АК «Узбектелеком» в еди-ную структуру для выработки общей стратегии развития:
«Создание, внедрение, эксплуатация и улучшение ин-формационных систем», используемых в АК «Узбектеле-ком» и его филиалах, для решения задач по эффектив-ной организации информационного процесса при дви-жении к «диджитализации», с учётом клиент-ориенти-рованного подхода.
Филиал«Инфосистемы»АК«Узбектелеком»Филиал«Инфосистемы»АК«Узбектелеком»
Миссия:•Консолидация всей сферы IT АК «Узбектелеком» в еди-ную структуру для выработки общей стратегии развития:
«Создание, внедрение, эксплуатация и улучшение ин-формационных систем», используемых в АК «Узбектеле-ком» и его филиалах, для решения задач по эффектив-ной организации информационного процесса при дви-жении к «диджитализации», с учётом клиент-ориенти-рованного подхода.
Чеммызанимаемся?• Разработкаразличногопрограммногообеспечения,единойконвергентнойбиллинговойсистемы, веб-платформ,ориентированныхнапользователейкомпании;• ЭксплуатацияЦОД;• РазвитиеинтерактивныхуслугIPTV;•Мониторингвсейсети,серверовиинформационныхресурсов
Обеспечениебезопасности• Сетевая безопасность: мониторинг актив-ности сети, всплески трафика, графикизагрузки, работа с Netflow и DPI;• Информационная безопасность: техни-ческая реализация ИБ в офисных локаль-ных сетях, защита компьютеров сотрудни-ков, а так же информационных ресурсов• Сетевое мошенничество: мониторинг напредмет аномалий, по биллингу – финан-сы и сетевой трафик. Как интернет, так ителефония.• Анализ программного обеспечения: напредмет закладок, сетевой активности,использованию ресурсов компьютера.
Актуальность• В сфере связи складывается ситуация, ког-да безопасность перекладывается на кли-ентскую сторону или на серверную сторо-ну, уделяя мало внимания на участок меж-ду ними – сети связи.• Часто понятие сетевая безопасность – вхо-дит в ИБ, в то время как это целая отдель-ная сфера с огромным кол-вом нюансов• Все элементы защиты, от файрволов досистем шифрования построены на том по-нятии, что сеть передачи данных – не дове-ренная, вообще сам Интернет – в целомнебезопасная сеть, где возможны самыеразличные виды атак для полученияценной информации.
Актуальность
• Важно, что с дальнейшем разви-тием M2M и IoT, увеличениемколичества гаджетов, в которыхреализовано только выполнениеосновной задачей и уделено сла-бое внимание безопасности, тре-бования к безопасности телеком-муникационных сетей – сущест-венно возрастут.
ТекущаяситуациясIoT• Большая часть не очень умных гаджетов иоконечных устройств не содержит в себеэлементов для обеспечения безопасности,от популярного Arduino с Ethernet/Wi-Fiмодулями до электронных счётчиков илимногих систем «Умного дома».• Кроме этого, даже при наличии возмож-ности обеспечивать защищенность уст-ройств, разработчики систем попростузабывают их настроить должным образом.• С переходом на IPv6 становятся возмож-ными массированные атаки на такиеустройства из сети Интернет, т.е. по всемумиру.
Текущаяситуацияспользователями
• Чаще всего персональные компьютеры пользовате-лей имеют собственный встроенный файрволл,который более менее защищает пользователей отсетевых атак.• К сожалению, опыт показывает что уязвимостей, кпримеру, в MS Windows настолько много, что этоособо не спасает, как показал недавний пример сWannaCry. Казалось бы, зачем иметь открытым 445-йпорт в сеть Интернет?• SMB протокол показал себя очень уязвимым ещё стех времён, когда пользователи пользовалисьDialUp’ом, пароль на который хранился в PWL файлахWindows 98, и был доступен по сети почти для всех,по адресу: \\IP-адрес\C$\Windows\username.pwl
• Имея ЦОД, защищенные по последним достижениям в ИБ, всёравно остаётся множество проблем. Файрвол, защищающийЦОД извне, возможно и защитит виртуальный сервер отDoS/DDoS атак, но не способен защитить от DoS атаки с исполь-зованием IP-спуфинга, т.е. запросто можно положить любойсервис множественными запросами с доверенного IP-адреса,пришедшими с глобальной сети.• Кроме этого, многие ЦОДы не предоставляют защиты отDoS/DDoS атак или файрвола для пользователей, либо цена –слишком высока.
ТекущаяситуациясЦОД• Имея ЦОД, защищенный по последним достижениям в ИБ, всёравно остаётся множество проблем. Файрволл, защищающийЦОД извне, возможно и защитит виртуальный сервер отDoS/DDoS атак, но не способен защитить от DoS атаки с исполь-зованием IP-спуфинга, т.е. запросто можно положить любойсервис множественными запросами с доверенного IP-адреса,пришедшими с глобальной сети.• Кроме этого, многие ЦОДы не предоставляют защиты отDoS/DDoS атак или файрволла для пользователей, либо цена –слишком высока.
•Самое очевидное – это маршрутизация иправильное распределение IP-адресов.•На самом деле, малое количество IPv4адресов и активное использование NAT –спасает от крупных атак с глобальной сети.•Чтобы создать закрытую сеть, можно нетолько использовать шифрованные VPN,но и IP-адресацию из невалидныхподсетей и правильное разделение наVLAN – виртуальные сети на L2-уровне.
Каксетьможетзащититьресурсы?
•Самое очевидное – это маршрутизация иправильное распределение IP-адресов.•На самом деле, малое количество IPv4адресов и активное использование NAT –спасает от крупных атак с глобальной сети.•Чтобы создать закрытую сеть, можно нетолько использовать шифрованные VPN,но и IP-адресацию из невалидныхподсетей и правильное разделение наVLAN – виртуальные сети на L2-уровне.
• Файрволл на маршрутизаторах.• Исторически сложилось так, что маршрутизаторы былипод мощнейшей нагрузкой сетевого трафика и файрволобычно настраивали только для удалённого доступа кэтому маршрутизатору, а не на транзитный трафик.• При этом простая блокировка портов 135-139 и 445 сглобальной сети на сеть абонентов – решила в далёкиегоды проблемы с кражей паролей из PWL файлов и досих пор сдерживает атаки типа WannaCry(распространение через 445-й порт).• Кроме блокировки портов, можно оперативно блоки-ровать IP-адреса ресурсов, с которых распространяетсявредоносный контент (вирусы, управление ботнетами,DoS-атаки).
Каксетьможетзащититьресурсы?• Файрволл на маршрутизаторах.• Исторически сложилось так, что маршрутизаторы былипод мощнейшей нагрузкой сетевого трафика и файрволобычно настраивали только для удалённого доступа кэтому маршрутизатору, а не на транзитный трафик.• При этом простая блокировка портов 135-139 и 445 сглобальной сети на сеть абонентов – решила в далёкиегоды проблемы с кражей паролей из PWL файлов и досих пор сдерживает атаки типа WannaCry(распространение через 445-й порт).• Кроме блокировки портов, можно оперативно блоки-ровать IP-адреса ресурсов, с которых распространяетсявредоносный контент (вирусы, управление ботнетами,DoS-атаки).
• Технология далеко не нова, но удивительно, что до сих пор работает и активноприменяется. Комбинирование IP-спуфинга с DoS-атакой – позволяет легкообойти практически любой клиентский файрволл, становится возможна DDoS-атака на доверенную сеть, куда файрволл пускает трафик только с надежныхIP-адресов. Кроме этого, MitM-атака так же возможная благодаря подменеsource IP-адреса.• Большинство ЦОД, с услугой VPS, хостингов – не уделяют должное вниманиекорректным настройкам, исключающим IP-спуфинг, в итоге – без проблемзарегистрировать VPS и с него устраивать атаки подобного роде.• Так же, большинство Интернет провайдеров, никак не контролируюткорректность исходящих IP-адресов, изнутри своей сети – в глобальную сеть.• Корректная настройка маршрутизаторов для исключения IP-спуфинга,привязка IP-адреса к MAC-адресу и их – к сетевому порту абонента, позволилабы существенно сократить возможности использовать атаки подобного рода.
IP-спуфинг• Технология далеко не нова, но удивительно, что до сих пор работает и активноприменяется. Комбинирование IP-спуфинга с DoS-атакой – позволяет легкообойти практически любой клиентский файрволл, становится возможна DDoS-атака на доверенную сеть, куда файрволл пускает трафик только с надежныхIP-адресов. Кроме этого, MitM-атака так же возможная благодаря подменеsource IP-адреса.• Большинство ЦОД, с услугой VPS, хостингов – не уделяют должное вниманиекорректным настройкам, исключающим IP-спуфинг, в итоге – без проблемзарегистрировать VPS и с него устраивать атаки подобного роде.• Так же, большинство Интернет провайдеров, никак не контролируюткорректность исходящих IP-адресов, изнутри своей сети – в глобальную сеть.• Корректная настройка маршрутизаторов для исключения IP-спуфинга,привязка IP-адреса к MAC-адресу и их – к сетевому порту абонента, позволилабы существенно сократить возможности использовать атаки подобного рода.
• Часто, атаки типа MitM становятся возможными внутрисети интернет-провайдера или оператора связи, из-занедостаточно корректной настройки маршрутизаторов,файрволов или коммутаторов.• Используя ARP-спуфинг, можно перенаправить трафик насебя в пределах L2-сети, используя IP-спуфинг – отправитьтрафик куда нужно, и даже с помощью недостаточнозащищенных настроек BGP (без использования фильтраанонсируемых IP-адресов), можно осуществитьперенаправление пользовательского трафика на ресурсатакующего, который будет работать либо как MitM-прокси, раскрывая трафик, либо как фишинг, маскируясьпод определённый ресурс.
ManintheMiddle– MitM-атаки• Часто, атаки типа MitM становятся возможными внутрисети интернет-провайдера или оператора связи, из-занедостаточно корректной настройки маршрутизаторов,файрволов или коммутаторов.• Используя ARP-спуфинг, можно перенаправить трафик насебя в пределах L2-сети, используя IP-спуфинг – отправитьтрафик куда нужно, и даже с помощью недостаточнозащищенных настроек BGP (без использования фильтраанонсируемых IP-адресов), можно осуществитьперенаправление пользовательского трафика на ресурсатакующего, который будет работать либо как MitM-прокси, раскрывая трафик, либо как фишинг, маскируясьпод определённый ресурс.
• Использование DPI для защиты транзитных данных,защиты абонентов от вирусов, защиты ЦОД их хакерскихатак с глобальной сети, к сожалению пока недостаточнораспространено. В основном DPI пока используется дляпоказа рекламы - вырезая чужие баннеры, шейпера -чтобы снизить скорость торрент-закачек или просмотраyoutube, а так же для блокировки IP-телефонии и VPN,или нежелательных веб-сайтов.• С помощью DPI и оперативного обновления сигнатур,возможно останавливать распространение вирусныхэпидемий в зародыше, анализируя веб, e-mail, DNS-трафик, трафик других протоколов (IRC, любой другойпорт, где передаются специальные команды).
DPI– DeepPacketInspection• Использование DPI для защиты транзитных данных,защиты абонентов от вирусов, защиты ЦОД их хакерскихатак с глобальной сети, к сожалению пока недостаточнораспространено. В основном DPI пока используется дляпоказа рекламы - вырезая чужие баннеры, шейпера -чтобы снизить скорость торрент-закачек или просмотраyoutube, а так же для блокировки IP-телефонии и VPN,или нежелательных веб-сайтов.• С помощью DPI и оперативного обновления сигнатур,возможно останавливать распространение вирусныхэпидемий в зародыше, анализируя веб, e-mail, DNS-трафик, трафик других протоколов (IRC, любой другойпорт, где передаются специальные команды).
• Старые методы атак – всё ещё не потеряли актуальности и активноиспользуются в комбинации, как друг с другом, так и с новейшимивидами.• Защитой от них – является целый комплекс, состоящий из: правиль-ного и разумного деления сетей на L2, защита от ARP-спуфинга иподмены IP-адресов, с привязкой к порту, файрволы, активноеиспользование DPI для блокировки распространения вирусов во всехтипах пакетов, путём анализа на уровне L7, что в итоге даёт намсистему определения атак (IDS) и в конечном итоге - системупредупреждения атак (IPS).• Но само наличие таких систем ещё не защищает от атак, необходимоактивно ими пользоваться: быть в курсе о новых уязвимостях иэксплоитах, своевременно обновлять и применять патчи, устраняяновые уязвимости – вплоть до покупки уязвимостей нулевого дня идальнейшего их анализа – для оперативного обновления сигнатурDPI.
Вывод• Старые методы атак – всё ещё не потеряли актуальности и активноиспользуются в комбинации, как друг с другом, так и с новейшимивидами.• Защитой от них – является целый комплекс, состоящий из: правиль-ного и разумного деления сетей на L2, защита от ARP-спуфинга иподмены IP-адресов, с привязкой к порту, файрволы, активноеиспользование DPI для блокировки распространения вирусов во всехтипах пакетов, путём анализа на уровне L7, что в итоге даёт намсистему определения атак (IDS) и в конечном итоге - системупредупреждения атак (IPS).• Но само наличие таких систем ещё не защищает от атак, необходимоактивно ими пользоваться: быть в курсе о новых уязвимостях иэксплоитах, своевременно обновлять и применять патчи, устраняяновые уязвимости – вплоть до покупки уязвимостей нулевого дня идальнейшего их анализа – для оперативного обновления сигнатурDPI.
Спасибозавнимание!
Вопросыможнонаправлятьнапочту:
[email protected]илиTelegram/Viber/IMO/WhatsApp:
+99899868-05-02
МаратФаттаховФилиал«Инфосистемы»
АК«Узбектелеком»
