Andrzej Karpiński – TBD
Temat prezentacji: Mechanizmy ochrony anty-DDoS stosowanych w Telekomunikacji Polskiej / Orange.
Język prezentacji: Polski
Abstrakt: Orange posiada największą ilość abonentów w Polsce, i w związku z tym największą infrastrukturę sieciową w kraju. Sieć Orange, podobnie jak sieci innych operatorów, jest obiektem ataków DDoS. W naszej prezentacji chcielibyśmy omówić problematykę związaną z atakami DDoS w skali takiego operatora w praktyce, oraz opowiedzieć o tym, jak próbujemy sobie z tym na co dzień radzić. Prezentacja byłaby podzielona na dwie części – w pierwszej zaprezentowalibyśmy przykładowe ataki i ich wpływ na usługi i klientów, z rozbiciem na kategorie: usługi mobilne, usługi szerokopasmowe kablowe i segment klientów premium (biznes, łącza międzyoperatorskie). Parę słów trzebaby także powiedzieć na temat wpływu ataków na samą infrastrukturę sieci (przeciążenia routerów, firewalli, łączy wewnątrz sieci Orange). W drugiej części pokazalibyśmy co operator może z tego typu atakami robić dziś, i jakie są pomysły i oczekiwania w zakresie przyszłości. Prezentacja nie będzie pokazywała żadnego konkretnie komercyjnego produktu sprzedawanego przez Orange, będą to raczej ogólnosieciowo-rynkowe rozważania na temat metod podejścia do takich problemów. Myślę, że ciekawe i ogólnorozwojowe dla dość szerokiego grona słuchaczy.
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...PROIDEA
Na rynku można znaleźć wiele modeli spawarek światłowodowych, reflektometrów czy mierników mocy, które różnią się od siebie parametrami, przeznaczeniem i ceną. Przed zakupem warto upewnić się, że wybieramy sprzęt, który spełni nasze oczekiwania pod względem technicznym jak i ekonomicznym. Porównując dostępne modele musimy zwrócić uwagę na te parametry, które są dla nas najważniejsze - nie możemy dać się zmylić marketingowym hasłom.
PLNOG 17 - Grzegorz Wenc - Na co zwracać uwagę przy wyborze podstawowych urzą...PROIDEA
Na rynku można znaleźć wiele modeli spawarek światłowodowych, reflektometrów czy mierników mocy, które różnią się od siebie parametrami, przeznaczeniem i ceną. Przed zakupem warto upewnić się, że wybieramy sprzęt, który spełni nasze oczekiwania pod względem technicznym jak i ekonomicznym. Porównując dostępne modele musimy zwrócić uwagę na te parametry, które są dla nas najważniejsze - nie możemy dać się zmylić marketingowym hasłom.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
Robert Ślaski – Chief network consultant at Atende S.A., with 15 years experience in ICT, responsible for most demanding and challenging company projects within operator networks and mobile technologies – i.e. for ATMAN, T-Mobile, Polkomtel, OST112. The Cisco Certified Internetwork Expert CCIE #10877 (Routing & Switching and Security).
Topic of Presentation: NFV, Virtualise networks or die – the voice of the realist
Language: Polish
Abstract: Currently we are on the leading edge of NFV (Network Function Virtualization) hype, but what does it entirely mean? Is the network element virtualization concept a quite new one? Does it mean the same as SDN? When it makes sense, when it is a salvation, and when it would probably fail? For the SP or for the enterprise? An introduction to the topic and a couple of unanswered questions.
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PROIDEA
Sebastian Pasternacki – Inżynier sieciowy i systemowy z 15 letnim doświadczeniem na rynku IT. Od połowy 2011 pracuje w Cisco Systems Polska, początkowo w Technicznej Organizacji Partnerskiej zajmując się wsparciem, rozwojem i edukacją techniczną partnerów Cisco Systems z całej Polski, od połowy 2013 roku jako konsultant systemowy w dziale Enterprise Networks skupiający się na rozwiązaniach i usługach oferowanych przez routery, a od maja 2014 jako Architekt Rozwiązań Sieciowych. Poprzednio zdobywał doświadczenie w Polsce i Irlandii pracując jako inżynier i konsultant sieciowy dla firm integracyjnych takich jak British Telecom, PlanNet21 i NextiraOne. Specjalizuje się w rozwiązaniach Enterprise z zakresu Routing & Switching, Security oraz Mobility. Posiadacz wielu certyfikatów branżowych, w tym poczwórny CCIE #17541 R&S/SEC/SP/Wireless oraz CCDE #2012::9. Prywatnie entuzjasta rocka i metalu oraz pikantnej orientalnej kuchni, fan przerzucania żelastwa na siłowni oraz ostatnio miłośnik sztuki przemawiania publicznego.
Temat prezentacji: Standard 802.11e, a usługi multimedialne w sieciach bezprzewodowych
Język prezentacji: Polski
Abstrakt: Sieci bezprzewodowe są powszechnie używaną metodą dostępu do sieci, a wraz z mnogością używanych aplikacji i ich wymaganiami, rośnie nacisk na gwarancję jakości transmisji, zwłaszcza dla usług multimedialnych. Czy zastanawialiście się kiedyś w jaki sposób i jakimi mechanizmami można zapewnić oczekiwaną jakość usługi? Odpowiedź leży w standardzie 802.11e i mechanizmach, które wraz z tym standardem mogą, a często powinny być zaimplementowane. Ta sesja to wycieczka ścieżką wytyczoną poprzez mechanizmy kontroli dostępu do medium transmisyjnego, klasyfikację i oznaczanie różnych typów ruchu, zwieńczona istotną tematyką oszczędności energii.
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PROIDEA
Piotr Kupisiewicz – Technical Expert in Krakow’s TAC VPN team. In IT for more than 10 years, out of which 5 years is mostly software engineering experience. Last 5 years spent mostly in networking area interested mostly in Network Security. His hobby are drums and very heavy music. CCIE Security 39762.
Olivier Pelerin – as a key member of the escalation team at Cisco’s Technical Assistance Center, he handles world-wide escalations on VPN technologies pertaining to IPSEC, DMVPN, EzVPN, GetVPN, FlexVPN, PKI. Olivier has spent years troubleshooting and diagnosing issues on some of largest, and most complex VPN deployments Olivier have a CCIE in security #20306
Topic of Presentation: Make IOS-XE Troubleshooting Easy – Packet-Tracer
Language: English
Abstract: “IOS-XE is operating system running on Service Provider devices like ASR series and ISR-4451. Aim of this session is to show how very complicated Service Provider’s configurations can be easily troubleshoted using packet-tracer tool.”
PLNOG14: Vectra i Infoblox Advanced DNS Protection, historia sukcesu pewnego...PROIDEA
Tomasz Parol - Vectra
Rafał Szewczyk - Infoblox
Language: Polish
Celem wystąpienia jest przedstawienie historii sukcesu wdrożenia systemu bezpiecznego i wydajnego DNS abonenckiego w sieci Vectra SA. Opowiemy dokładnie jakie potrzeby biznesowe i technologiczne zostały zaspokojone oraz jakie korzyści mają dzięki wdrożeniu systemu klienci operatora. Interesująca będzie również możliwość spojrzenia na dynamiczny proces wdrożeniowy systemu DNS oraz przykładowe dane pochodzące z żywego działającego systemu. Poruszymy między innymi następujące zagadnienia: - Jakie korzyści wprowadza dedykowana platforma DNS na rynku operatorów Internetu? - Jakie możliwości oferuje dziś nowoczesna platforma DNS? - Jak zapewnić bezpieczeństwo rozwiązania DNS na potrzeby dużego operatora? - Czy automatyzacja i centralizacja zarządzania DNS ma sens? Gościem specjalnym podczas prelekcji będzie Tomasz Parol z Działu Usług Internetowych w Vectra SA.
Zarejestruj się już dzisiaj na kolejną edycję PLNOG: krakow.plnog.pl
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
Dariusz Zmysłowski - Systemics PAB
Rafał Wiszniewski - Orange Polska
Language: Polish
Istotnym obszarem działalności Systemics-PAB jest współpraca z Orange Polska w zakresie testowania wydajności i bezpieczeństwa systemów sieciowych z wykorzystaniem rozwiązań oferowanych przez Spirent Communications. W trakcie prezentacji zostanie przedstawione praktyczne wykorzystanie produktów Avalanche i Avalanche Next w Orange Polska.
W związku z rosnącą ilością zagrożeń ze strony sieci Internet rośnie liczba urządzeń kierowanych do ochrony użytkowników sieci przed niepowołaną treścią. Aby sprostać wymaganiom stawianym przez największe sieci, producenci wprowadzają na rynek coraz to bardziej zaawansowane rozwiązania, których wydajność wydaje się być wystarczająca, aby chronić sieci z dużą liczbą użytkowników. Co więcej deklarowana wydajność niektórych urządzeń wydaje się być wystarczająca nawet do uruchomienia takowych urządzeń w rdzeniu sieci.
Orange Polska testuje wydajnościowo urządzenia oraz usługi naszych Klientów dostępne w sieci Internet. Poddajemy je szeregowi testów, których celem jest sprawdzenie ich wydajności i funkcjonalności, określenie słabych punktów i wąskich gardeł, przygotowanie scenariuszy awaryjnych czy zaplanowanie modernizacji i rozbudowy.
Systemics – PAB specjalizuje się pomiarach jakości usług telekomunikacyjnych, usługach i dostarczaniu rozwiązań z obszaru optymalizacji, inżynierii systemów telekomunikacyjnych, bezpieczeństwa i wydajności środowisk sieciowych.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...PROIDEA
Chmury obliczeniowe zapewniają powszechny, wygodny dostęp do teoretycznie „nieograniczonych” zasobów obliczeniowych umożliwiających oferowanie nowych usług wykorzystujących nowe modele biznesowe bazujące na zasadzie „płać za użycie”. Jednakże, konieczność przesyłania danych pomiędzy użytkownikiem a centrum danych często zlokalizowanym w znacznej odległości, stanowi barierę dla rozwoju usług wymagających przetwarzania danych w czasie zbliżonym do czasu rzeczywistego, np. AR/VR, gier interaktywnych, czy 360 wideo. Nowym rozwiązaniem jest wykorzystanie zasobów obliczeniowych dostępnych poza chmurami obliczeniowymi, zgodnie z koncepcją tzw. „mgły obliczeniowej” (Fog computing), obejmującą zarówno zasoby obliczeniowe na brzegu sieci oferowane w ramach systemów MEC (Multi-Access Edge Computing) jak i zasoby urządzeń zlokalizowanych w otoczeniu użytkownika (mist computing). W ramach prezentacji zostaną przedstawione: i) założenia, koncepcja oraz różnice pomiędzy systemami Fog/Edge/MEC Computing, ii) architektura tych systemów, iii) przykłady nowych aplikacji i usług, które wykorzystują nowe możliwości oferowane przez systemy Fog/Edge/MEC, iv) stan rozwoju techniki przetwarzania na brzegu sieci, obejmujący zarówno stan standaryzacji (np. ETSI MEC), jak i kierunki prac badawczych. W szczególności, pokrótce zostaną omówione obecnie realizowane prace w ramach projektów międzynarodowych tworzących otwarte oprogramowanie oraz rozwiązanie obecnie opracowywane w kraju dla Systemu MEC oferującego usługi przetwarzania danych na brzegu sieci.
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
Założenia, technologie, tips and tricks do codziennego zastosowania przy zabezpieczaniu aplikacji webowych od strony serwerowej. Analiza ruchu sieciowego w oparciu o narzędzia systemowe celem ułatwienia rozpoznania ewentualnych zagrożeń, monitorowanie usług.
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
PLNOG 13: Robert Ślaski: NFV, Virtualise networks or die – the voice of the r...PROIDEA
Robert Ślaski – Chief network consultant at Atende S.A., with 15 years experience in ICT, responsible for most demanding and challenging company projects within operator networks and mobile technologies – i.e. for ATMAN, T-Mobile, Polkomtel, OST112. The Cisco Certified Internetwork Expert CCIE #10877 (Routing & Switching and Security).
Topic of Presentation: NFV, Virtualise networks or die – the voice of the realist
Language: Polish
Abstract: Currently we are on the leading edge of NFV (Network Function Virtualization) hype, but what does it entirely mean? Is the network element virtualization concept a quite new one? Does it mean the same as SDN? When it makes sense, when it is a salvation, and when it would probably fail? For the SP or for the enterprise? An introduction to the topic and a couple of unanswered questions.
PLNOG 13: Sebastian Pasternacki: Standard 802.11e, a usługi multimedialne w s...PROIDEA
Sebastian Pasternacki – Inżynier sieciowy i systemowy z 15 letnim doświadczeniem na rynku IT. Od połowy 2011 pracuje w Cisco Systems Polska, początkowo w Technicznej Organizacji Partnerskiej zajmując się wsparciem, rozwojem i edukacją techniczną partnerów Cisco Systems z całej Polski, od połowy 2013 roku jako konsultant systemowy w dziale Enterprise Networks skupiający się na rozwiązaniach i usługach oferowanych przez routery, a od maja 2014 jako Architekt Rozwiązań Sieciowych. Poprzednio zdobywał doświadczenie w Polsce i Irlandii pracując jako inżynier i konsultant sieciowy dla firm integracyjnych takich jak British Telecom, PlanNet21 i NextiraOne. Specjalizuje się w rozwiązaniach Enterprise z zakresu Routing & Switching, Security oraz Mobility. Posiadacz wielu certyfikatów branżowych, w tym poczwórny CCIE #17541 R&S/SEC/SP/Wireless oraz CCDE #2012::9. Prywatnie entuzjasta rocka i metalu oraz pikantnej orientalnej kuchni, fan przerzucania żelastwa na siłowni oraz ostatnio miłośnik sztuki przemawiania publicznego.
Temat prezentacji: Standard 802.11e, a usługi multimedialne w sieciach bezprzewodowych
Język prezentacji: Polski
Abstrakt: Sieci bezprzewodowe są powszechnie używaną metodą dostępu do sieci, a wraz z mnogością używanych aplikacji i ich wymaganiami, rośnie nacisk na gwarancję jakości transmisji, zwłaszcza dla usług multimedialnych. Czy zastanawialiście się kiedyś w jaki sposób i jakimi mechanizmami można zapewnić oczekiwaną jakość usługi? Odpowiedź leży w standardzie 802.11e i mechanizmach, które wraz z tym standardem mogą, a często powinny być zaimplementowane. Ta sesja to wycieczka ścieżką wytyczoną poprzez mechanizmy kontroli dostępu do medium transmisyjnego, klasyfikację i oznaczanie różnych typów ruchu, zwieńczona istotną tematyką oszczędności energii.
PLNOG 13: P. Kupisiewicz, O. Pelerin: Make IOS-XE Troubleshooting Easy – Pack...PROIDEA
Piotr Kupisiewicz – Technical Expert in Krakow’s TAC VPN team. In IT for more than 10 years, out of which 5 years is mostly software engineering experience. Last 5 years spent mostly in networking area interested mostly in Network Security. His hobby are drums and very heavy music. CCIE Security 39762.
Olivier Pelerin – as a key member of the escalation team at Cisco’s Technical Assistance Center, he handles world-wide escalations on VPN technologies pertaining to IPSEC, DMVPN, EzVPN, GetVPN, FlexVPN, PKI. Olivier has spent years troubleshooting and diagnosing issues on some of largest, and most complex VPN deployments Olivier have a CCIE in security #20306
Topic of Presentation: Make IOS-XE Troubleshooting Easy – Packet-Tracer
Language: English
Abstract: “IOS-XE is operating system running on Service Provider devices like ASR series and ISR-4451. Aim of this session is to show how very complicated Service Provider’s configurations can be easily troubleshoted using packet-tracer tool.”
PLNOG14: Vectra i Infoblox Advanced DNS Protection, historia sukcesu pewnego...PROIDEA
Tomasz Parol - Vectra
Rafał Szewczyk - Infoblox
Language: Polish
Celem wystąpienia jest przedstawienie historii sukcesu wdrożenia systemu bezpiecznego i wydajnego DNS abonenckiego w sieci Vectra SA. Opowiemy dokładnie jakie potrzeby biznesowe i technologiczne zostały zaspokojone oraz jakie korzyści mają dzięki wdrożeniu systemu klienci operatora. Interesująca będzie również możliwość spojrzenia na dynamiczny proces wdrożeniowy systemu DNS oraz przykładowe dane pochodzące z żywego działającego systemu. Poruszymy między innymi następujące zagadnienia: - Jakie korzyści wprowadza dedykowana platforma DNS na rynku operatorów Internetu? - Jakie możliwości oferuje dziś nowoczesna platforma DNS? - Jak zapewnić bezpieczeństwo rozwiązania DNS na potrzeby dużego operatora? - Czy automatyzacja i centralizacja zarządzania DNS ma sens? Gościem specjalnym podczas prelekcji będzie Tomasz Parol z Działu Usług Internetowych w Vectra SA.
Zarejestruj się już dzisiaj na kolejną edycję PLNOG: krakow.plnog.pl
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
Dariusz Zmysłowski - Systemics PAB
Rafał Wiszniewski - Orange Polska
Language: Polish
Istotnym obszarem działalności Systemics-PAB jest współpraca z Orange Polska w zakresie testowania wydajności i bezpieczeństwa systemów sieciowych z wykorzystaniem rozwiązań oferowanych przez Spirent Communications. W trakcie prezentacji zostanie przedstawione praktyczne wykorzystanie produktów Avalanche i Avalanche Next w Orange Polska.
W związku z rosnącą ilością zagrożeń ze strony sieci Internet rośnie liczba urządzeń kierowanych do ochrony użytkowników sieci przed niepowołaną treścią. Aby sprostać wymaganiom stawianym przez największe sieci, producenci wprowadzają na rynek coraz to bardziej zaawansowane rozwiązania, których wydajność wydaje się być wystarczająca, aby chronić sieci z dużą liczbą użytkowników. Co więcej deklarowana wydajność niektórych urządzeń wydaje się być wystarczająca nawet do uruchomienia takowych urządzeń w rdzeniu sieci.
Orange Polska testuje wydajnościowo urządzenia oraz usługi naszych Klientów dostępne w sieci Internet. Poddajemy je szeregowi testów, których celem jest sprawdzenie ich wydajności i funkcjonalności, określenie słabych punktów i wąskich gardeł, przygotowanie scenariuszy awaryjnych czy zaplanowanie modernizacji i rozbudowy.
Systemics – PAB specjalizuje się pomiarach jakości usług telekomunikacyjnych, usługach i dostarczaniu rozwiązań z obszaru optymalizacji, inżynierii systemów telekomunikacyjnych, bezpieczeństwa i wydajności środowisk sieciowych.
Zarejestruj się na kolejną edycję PLNOG już dzisiaj: krakow.plnog.pl
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
PLNOG23 - Bartosz Belter & dr hab. inż. Andrzej Bęben - Techniki przetwarzani...PROIDEA
Chmury obliczeniowe zapewniają powszechny, wygodny dostęp do teoretycznie „nieograniczonych” zasobów obliczeniowych umożliwiających oferowanie nowych usług wykorzystujących nowe modele biznesowe bazujące na zasadzie „płać za użycie”. Jednakże, konieczność przesyłania danych pomiędzy użytkownikiem a centrum danych często zlokalizowanym w znacznej odległości, stanowi barierę dla rozwoju usług wymagających przetwarzania danych w czasie zbliżonym do czasu rzeczywistego, np. AR/VR, gier interaktywnych, czy 360 wideo. Nowym rozwiązaniem jest wykorzystanie zasobów obliczeniowych dostępnych poza chmurami obliczeniowymi, zgodnie z koncepcją tzw. „mgły obliczeniowej” (Fog computing), obejmującą zarówno zasoby obliczeniowe na brzegu sieci oferowane w ramach systemów MEC (Multi-Access Edge Computing) jak i zasoby urządzeń zlokalizowanych w otoczeniu użytkownika (mist computing). W ramach prezentacji zostaną przedstawione: i) założenia, koncepcja oraz różnice pomiędzy systemami Fog/Edge/MEC Computing, ii) architektura tych systemów, iii) przykłady nowych aplikacji i usług, które wykorzystują nowe możliwości oferowane przez systemy Fog/Edge/MEC, iv) stan rozwoju techniki przetwarzania na brzegu sieci, obejmujący zarówno stan standaryzacji (np. ETSI MEC), jak i kierunki prac badawczych. W szczególności, pokrótce zostaną omówione obecnie realizowane prace w ramach projektów międzynarodowych tworzących otwarte oprogramowanie oraz rozwiązanie obecnie opracowywane w kraju dla Systemu MEC oferującego usługi przetwarzania danych na brzegu sieci.
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPROIDEA
Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
Założenia, technologie, tips and tricks do codziennego zastosowania przy zabezpieczaniu aplikacji webowych od strony serwerowej. Analiza ruchu sieciowego w oparciu o narzędzia systemowe celem ułatwienia rozpoznania ewentualnych zagrożeń, monitorowanie usług.
PLNOG 13: Paweł Kuśmierski: How Akamai and Prolexic mitigate (D)DoS attacksPROIDEA
Paweł Kuśmierski -is a Senior Engineer and Lead of Akamai’s System Operations in Krakow, Poland. He’s responsible for operational oversight of Internet Mapping and Distributed Storage systems. In the past he interned at Google’s Mountain View office as a Software Engineer. He lives with his wife and three year old son in Krakow. He likes building electronic devices, systems programming and flying gliders.
Topic of Presentation: How Akamai and Prolexic mitigate (D)DoS attacks
Language: Polish
Abstract: The presentation will cover the common types of attacks Akamai and Prolexic see, and what mitigation techniques are available to protect against them. It will start with a short architectural description of how their networks are built. It will describe at what level they get attacked, and how are the attacks handled.
2. Agenda
- Kilka przykładów ataków, czyli mamy problem
- Nie wszyscy na sali to eksperci
- Wielkość ataków (2014)
- „Jak nie upaść podczas tańca” - podpowiedzi
techniczne, jak sobie z tym problemem próbujemy
radzić
10. Czy zatem jesteśmy bezradni?
(dekalog operatora telekomunikacyjnego w
zakresie ochrony DDoS)
11. Po pierwsze:
obserwujemy sieć
i monitorujemy ataki,
reagujemy na bieżąco
Orange Security
Operations Center
24/7/365
SIEM/NBAD/Arbor
TP CERT
12. Po drugie:
Trzeba znać swoje słabe strony i mieć
świadomość limitów infrastruktury
Przeprowadzać cyklicznie stress-testy
newralgicznych komponentów
infrastruktury
Przeprowadzamy testy na życzenie i w
porozumieniu z zainteresowanymi
klientami
Na zdjęciach próbniki Spirent (jeden z nich
podłączony do szkieletu TPNET z Security
LAB linkami 10Gbit/s)
13. Po trzecie:
Operatorzy operatorom zgotowali ten los!
Zapoznajcie się z BCP38 i 84
(RFC 2827 i 3704)
Filtrujcie spoofy!
Dbajcie o aktualność RIPE-DB
Właściwie konfigurujcie urządzenia
Ograniczcie ilość usług powszechnych
14. Po czwarte:
Ataki są generowane przez zarażone stacji naszych
użytkowników!
Operator telekomunikacyjny jest współodpowiedzialny
za bezpieczeństwo klientów, ich komputerów
i sieci!
Blokujmy porty windowsowe, filtrujmy malware,
oferujmy rozwiązania AV/PF w pakietach usług dla
naszych klientów, monitorujmy sieci usługowe i
reagujmy na problemy bezpieczeństwa naszych
abonentów!
Casus: błąd w oprogramowaniu modemów DSL
15. Po piąte:
Tępimy Botnety!
Uruchom i wykorzystuj w sieci mechanizmy typu
blackholing (null route)
Monitoruj sieć, blokuj zarówno znalezione samemu
kontrolery botnetów, jak i adresy IP na podstawie
zaufanych źródeł informacji (podpisz umowy o
współpracy z dostawcami takiego kontentu!)
16. Po szóste:
Pojemność i rozproszenie!
Perspektywa ataków DDoS paradoksalnie może poprawić jakość
działania sieci i dostępność usług: najlepszą metodą obrony przed
atakami DDoS jest rozpraszanie treści (anycast, CDN, SecureDNS)
Zwiększanie pojemności sieci jest skuteczną metodą obrony, o ile
dysponujemy nieograniczonymi zasobami finansowymi; jednakże
utrzymywanie rozsądnego zapasu (Orange ma zapas w sieci,
zamiast overbookingu!) jest skuteczną formą obrony
Należy stosować dywersyfikację na każdym poziomie planowania
sieci – w tym połączeń zewnętrznych. Wszelkiego rodzaju IX
węzły wymiany ruchu) zwiększają naszą szansę na przetrwanie
17. Po siódme:
Filtrowanie ataków!
Chronimy główne łącza zewnętrzne i
infrastrukturę klientów
Warianty rozwiązań: in-line i off-ramp
Przykładowe rozwiązania: Arbor, A10,
Radware, Fortinet, CheckPoint
Orange posiada infrastrukturę do a) ochrony
sieci oraz do b) świadczenia odpłatnych usług
premium z ochroną Anty-DDoS (np. dla
sektora finansowego)
18. Po ósme:
Dostawca treści nie zawsze musi wystawiać kontent na swoich
łączach! (ale uwaga na serwisy transakcyjne)
Dwa warianty rozwiązań:
1) CDN
2) Proxy
Oba warianty możliwe do zastosowania w sieci Orange, według
upodobań i potrzeb
Światowi liderzy np: CloudFlare, Prolexic, Akamai, ...
19. Po dziewiąte:
Wykorzystujmy dostępne na rynku środki akceleracji, filtrowania
na poziomie aplikacji i rate-limitów
One-connect
Connection persistance
Limity sesji
Limity na poziomie aplikacji
Buforowanie, cacheing
Stos TCP/IP zoptymalizowany pod nadawcę/odbiorcę
Akceleracja sprzętowa SSL
...
Główne serwisy Orange są chronione przez urządzenia Viprion
Analogiczne rozwiązania oferujemy naszym klientom
20. Po dziesiąte:
Pracujmy ciągle nad wzbogacaniem sieci usługowych o
rozwiązania bezpieczeństwa
Flowspec
Karty off-ramp do urządzeń sieciowych
Doposażenie sieci w rozwiązania in-line
DNSSec
W perspektywie kilku lat prawdopodobnie każdy router czy
dowolne inne urządzenie sieciowe będzie wyposażone w
dedykowane komponenty związane z bezpieczeństwem, które
będą stanowiły istotną część wartości tego urządzenia i całej sieci