ITCSECadmin

Platforma Bezpieczeństwa Sieciowego

Detekcja DDoS · BGP Blackholing i FlowSpec · Traffic Diversion · SIEM · Zgodność NIS2

Czym jest ITCSECadmin?

ITCSECadmin to modularna, samodzielnie hostowana platforma bezpieczeństwa sieciowego zaprojektowana dla dostawców usług internetowych (ISP), punktów wymiany ruchu internetowego (IXP) oraz sieci korporacyjnych. Platforma łączy ochronę DDoS, dywersję ruchu BGP, SIEM, monitoring sieci, zarządzanie BGP z integracją multi-vendor, skanowanie podatności oraz analitykę AI w jednym, zunifikowanym interfejsie.

< 2 sek.

czas detekcji ataku

< 5 sek.

aktywacja blackhole

< 10 sek.

dywersja ruchu BGP

70–80%

redukcja TCO

< 0,1%

false positives

99,99%

dostępność

Kluczowe korzyści

Wszystko w jednym

Ochrona DDoS, BGP Traffic Diversion, SIEM, monitoring sieci, zarządzanie BGP z integracją multi-vendor, skanowanie podatności i analityka AI w jednej platformie — koniec z płaceniem za wiele oddzielnych narzędzi.

Pełna kontrola nad danymi

Rozwiązanie self-hosted, bez zależności od zewnętrznej chmury. Idealne dla środowisk air-gap i sieci o podwyższonych wymaganiach bezpieczeństwa. Zero zewnętrznych wywołań w trybie operacyjnym.

Wykrywanie zagrożeń w czasie rzeczywistym

Detekcja ataków DDoS w mniej niż 2 sekundy z automatyczną mitygacją poprzez BGP blackholing lub dywersję ruchu do ścieżki scrubbingowej.

BGP Traffic Diversion bez blackholingu

Przekierowanie atakowanego ruchu na ścieżkę scrubbingową bez konieczności całkowitego czarnego dziurowania. Natywna integracja z urządzeniami wielu producentów. Auto-trigger i auto-revert na podstawie wykrytego ataku rozproszonego.

BGP FlowSpec — mitygacja chirurgiczna

Reguły per-flow (RFC 5575) wstrzykiwane przez ExaBGP v5: odrzucaj lub ograniczaj wyłącznie ruch ataku — po prefiksie, porcie, protokole czy flagach TCP. Legalny ruch do tego samego adresu IP płynie dalej, bez scrubbing center.

Zgodność z NIS2

Wbudowany moduł compliance: raportowanie incydentów (Art. 23), zarządzanie ryzykiem, polityki bezpieczeństwa, rejestry szkoleń i tamper-evident audit log.

Sztuczna inteligencja

Zintegrowany asystent AI wspierający analizę sieci, troubleshooting i podejmowanie decyzji operacyjnych w języku naturalnym.

Niższy koszt posiadania

Redukcja TCO o 70–80% w porównaniu z komercyjnymi rozwiązaniami. Brak opłat per Gbps, brak subskrypcji za ingestion danych.

Moduły i funkcjonalności

Ochrona przed DDoS

  • Analiza ruchu w czasie rzeczywistym — obsługa NetFlow v5/v9/IPFIX, sFlow oraz PCAP
  • Hierarchiczne progi detekcji — na poziomie sieci, protokołu, portu i TOS
  • Country Risk Scoring — ważenie ruchu na podstawie profilu ryzyka kraju źródłowego
  • Automatyczna mitygacja — BGP blackholing z tagowaniem community i integracją FlowSpec — obsługiwane platformy multi-vendor
  • Zarządzanie białą/czarną listą — whitelisting i blacklisting adresów IP
  • Obsługa różnych typów ataków — volumetryczne, protokołowe i warstwy aplikacji
  • Monitor egress spoofingu (BCP38) — wykrywanie sfałszowanego ruchu źródłowego opuszczającego sieć, z atrybucją source-MAC wskazującą port sprawcy
  • Detekcja odbicia SYN-ACK — identyfikacja własnych hostów wykorzystywanych jako ofiary refleksji, z rekomendacją dywersji zamiast blackholingu
  • Konfigurowalne reguły detekcji (no-code) — progi i reguły zarządzane z panelu administracyjnego, bez zmian w kodzie; wbudowana biblioteka reguł (brute force, port scan, SYN flood, DNS abuse i inne)
  • Reakcja dopasowana do kształtu ataku — pojedyncze IP → blackhole RTBH, atak rozproszony → dywersja BGP, niski wolumen → FlowSpec; domyślnie tylko alerty, dopóki operator nie włączy reguły
  • Symulator What-If — podgląd skutków blackhole i scoringu przed podjęciem jakiejkolwiek akcji

BGP FlowSpec (ExaBGP v5)

Chirurgiczna mitygacja bez blackholingu — reguły BGP FlowSpec (RFC 5575) wstrzykiwane bezpośrednio do peerów upstream. Odrzucasz lub ograniczasz wyłącznie ruch ataku, a legalny ruch do tego samego adresu IP pozostaje nienaruszony.

  • Reguły per-flow — dopasowanie po prefiksie docelowym/źródłowym, protokole, porcie, flagach TCP, DSCP i fragmentacji
  • Akcje drop / rate-limit — null-route tylko pasujących przepływów lub limitowanie kbps per sąsiad BGP
  • Tryb mitygacji per próg — blackhole, flowspec, oba lub none
  • Nieblokująca kolejka wstrzykiwania — pipeline detekcji nigdy nie czeka na ogłoszenia BGP
  • Automatyczne wycofanie — reguły wygasają po konfigurowalnym czasie życia po ustaniu zagrożenia
  • Pełny status per sąsiad i regułę — pending / active / withdrawn / failed, z ręcznym inject/withdraw
  • Generator exabgp.conf — podgląd i zapis konfiguracji jednym kliknięciem oraz test łączności CLI w czasie rzeczywistym
  • Bez scrubbing center — brak dodatkowych opłat i zewnętrznych licencji

BGP Traffic Diversion

Przekierowanie atakowanych prefiksów do ścieżki scrubbingowej lub alternatywnej bez konieczności całkowitego blackholingu. Obsługa wielu platform routingowych.

  • Trzy mechanizmy dywersji — Withdraw, Prefix-List, Route-Map
  • SSH z audytem — wykonywanie poleceń SSH z podglądem wyników na żywo
  • Auto-Trigger — automatyczna aktywacja polityki dywersji gdy daemon wykryje atak rozproszony
  • Auto-Revert — automatyczne cofnięcie polityki po konfigurowalnym oknie czasowym
  • Potwierdzenie CIDR — obowiązkowa brama potwierdzenia zakresu CIDR
  • Per-peer selection — wybór, z których peerów eBGP wycofać prefiks
  • One-click Divert — przycisk bezpośrednio w dashboardzie Distributed Alerts
  • Duplikacja polityk — skopiowanie polityki na wiele routerów jednym kliknięciem
  • Historia zdarzeń — pełny audit trail z output SSH
  • Inteligentne selektywne rozgłaszanie — atakowany prefiks pozostaje osiągalny przez peerów krytycznych (Google, Meta, Akamai, Amazon, Cloudflare) na bazie utrzymywanej listy ASN, a wycofywany jest tylko u pozostałych
  • Multi-vendor — Linux FRR, Huawei NE8000 (VRP) i Cisco ASR (IOS-XE)

SIEM i zgodność z NIS2

  • Raportowanie incydentów — zgodne z Art. 23 NIS2, śledzenie terminów 24h / 72h / 1 miesiąc
  • Zarządzanie politykami — wersjonowane polityki bezpieczeństwa
  • Zarządzanie ryzykiem — framework oceny ryzyka z systemem scoring
  • Rejestr szkoleń — śledzenie szkoleń z zakresu bezpieczeństwa
  • Logi audytowe — tamper-evident logowanie wszystkich działań bezpieczeństwa
  • Zbieranie logów — kolektor Syslog (RFC 3164/5424) dla urządzeń wielu producentów
  • Parsery multi-vendor — dedykowane parsery Juniper JunOS (UI_COMMIT, UI_AUTH, stany sesji BGP, link up/down), Cisco IOS/IOS-XE i Linux syslog, z generycznym fallbackiem RFC 3164
  • Korelacja — łączenie zdarzeń syslog z danymi ruchu NetFlow/sFlow
  • Silnik reguł — dopasowywanie wzorców PCRE z poziomami ważności
  • Powiadomienia — alerty w czasie rzeczywistym przez email i webhook

Zarządzanie BGP i peeringiem

  • Synchronizacja konfiguracji — bez agenta — bezpośredni pull SSH konfiguracji z routerów Huawei NE8000, Cisco ASR i Juniper MX oraz synchronizacja agentowa dla Linux FRR
  • Dynamiczne mapowanie peerów — automatyczne dopasowanie sąsiadów BGP do interfejsów fizycznych
  • Diagnostyka — automatyczne sprawdzanie obecności ARP, łączności interfejsów
  • Monitorowanie pasma — wykresy pasma per-interfejs z obsługą VLAN-tagged flows
  • Analiza route-map / polityk — wizualizacja klauzul match/set, local-pref i prependów dla FRR, NE8000, ASR i Juniper MX (w tym rozróżnienie prependów domyślnych i wyzwalanych przez community)
  • Billing i pasmo — śledzenie 95. percentyla, CIR i PIR per peer
  • Terminal SSH — bezpieczny, audytowany dostęp webowy do routerów
  • Backup konfiguracji — wersjonowane kopie zapasowe z unified diff
  • Tablica routingu — wydajna obsługa pełnych tablic (1M+ tras)

Monitoring sieci (NMS)

  • Monitoring interfejsów SNMP — odpytywanie liczników per interfejs (bity/pakiety, błędy, utylizacja) z historycznymi wykresami trendów
  • Dashboardy per urządzenie — tabele interfejsów i status łączy w jednym widoku
  • Kontrole usług i uptime — śledzenie dostępności monitorowanych usług z pełną historią wyników
  • Przechowywanie time-series — liczniki interfejsów i wyniki kontroli zapisywane w TimescaleDB dla długoterminowych trendów

Skaner podatności sieciowych

  • Detekcja CVE — skanowanie oparte na Nmap z wykrywaniem podatności
  • Skanowanie portów — monitorowanie 55+ portów wysokiego ryzyka
  • Przetwarzanie równoległe — silnik batch dla dużych zakresów sieciowych
  • Integracja z SIEM — podatności automatycznie generują zdarzenia bezpieczeństwa
  • Raporty — automatyczne raporty email z podziałem na kategorie ważności

Portal klienta (edycja ISP/IXP)

  • Widoczność ruchu — klienci widzą własne wykresy i statystyki ruchu sieciowego
  • Alerty DDoS — historia ataków na prefiksy klienta
  • Raporty PDF — raporty bezpieczeństwa do pobrania
  • Izolacja danych — ścisła separacja danych na podstawie przypisanych CIDR

Analiza ruchu sieciowego

  • Wieloprotokołowa obsługa — NetFlow v5/v9/IPFIX, sFlow, PCAP
  • Zaawansowane wyszukiwanie — filtrowanie po IP (CIDR), porcie, protokole, ASN, geolokalizacji i zakresie czasowym
  • Top talkers — identyfikacja największych źródeł ruchu
  • Interaktywna wizualizacja — zoom w stylu Grafana
  • Diagramy Sankey — wizualizacja dystrybucji ruchu sieciowego
  • Analiza forensic — przeszukiwanie logów przepływowych na dysku (nfdump)
  • Wyszukiwanie CGNAT — reverse-lookup translacji NAT
  • Eksport danych — CSV, JSON, PDF

Asystent AI

  • Zapytania w języku naturalnym — pytania o status sieci, analiza historyczna, identyfikacja trendów
  • Automatyczny troubleshooting — wsparcie diagnostyczne i operacyjne
  • Integracja MCP — rozszerzalny system narzędzi: Traffic Search, CGNAT Lookup, BGP Status, Vulnerability Analysis
  • Obsługiwane backendy AI — ITCare AI API oraz wewnętrzne serwery AI w bezpiecznej sieci

Obsługiwane platformy

Natywna integracja z urządzeniami wiodących producentów (brak wymogu instalacji jakichkolwiek agentów po stronie routera — cała komunikacja SSH odbywa się z poziomu aplikacji).

  • Linux FRR (Free Range Routing vtysh / BGP daemon) — SSH (agent po stronie aplikacji)
  • Huawei NE8000 (VRP) — natywne SSH
  • Cisco ASR (IOS-XE) — natywne SSH
  • Juniper MX (JunOS) — natywne SSH
  • MikroTik RouterOS — synchronizacja konfiguracji przez SSH

Specyfikacja techniczna i wdrożenie

  • Architektura:
    Backend: PHP 8+ • Bazy danych: MariaDB, PostgreSQL + TimescaleDB • Kolekcja danych: pmacct + nfdump
  • Wymagania sprzętowe:
    Minimum: 4 rdzenie, 12GB RAM, 256GB SSD (do 10 Gbit/s) • Produkcja: 16+ rdzeni, 64GB RAM, 2TB NVMe
  • Opcje wdrożenia:
    On-Premises, Usługa zarządzana, Wdrożenie hybrydowe (Kolektory na brzegu sieci)

Przewagi konkurencyjne

vs. komercyjne DDoS

Brak opłat per Gbps, self-hosted, zintegrowany SIEM, brak subskrypcji cyklicznych.

vs. open source

Zaprojektowane specjalnie dla ISP/IXP, automatyczna mitygacja, gotowe do produkcji, zgodność NIS2 out-of-the-box.

vs. tradycyjne SIEM

Natywna obsługa sieci, mitygacja w czasie rzeczywistym, brak opłat za ingestion danych, niższy TCO o 70–80%.

Modele licencjonowania

Licencja wieczysta

Jednorazowy zakup Core System. Bez limitu użytkowników i ruchu.

Licencja subskrypcyjna

Rozliczenie roczne lub miesięczne. Wszystkie moduły w cenie.

Usługa zarządzana

Miesięczna opłata per lokalizacja. Sprzęt, oprogramowanie, wsparcie 24/7 (SLA).

Enterprise

Indywidualna wycena. Dedykowany zespół wsparcia. Priorytet rozwoju funkcji.

Gotowy zobaczyć to w akcji?

Poproś o demo