Security-Desayuno-F5-Abril-2012.pptx [Sólo lectura] · 2012-05-03 · © F5 Networks, Inc. 9 TMOS...

SEGURIDAD F5SEGURIDAD F5

Raul FloresFSE Leader

© F5 Networks, Inc.

2

• „[…] Ya tenemos Firewalls y IPS […]“

• „[…] Usamos SSL […]“

• „[…] Para el servicio DNS controlamos el puerto 53 […]“

Algunas frases hablando de Seguridad...


3

Los Hackers cambian los métodos !!!!!

• Insolito: Ataque de “SQL Injection” a Radares !!!!!!


4

La realidad es queLas amenazas evolucionan, cambian comportamientos

Figure 15 and 16: Verizon 2011 Data Breach Investigations Report


5

Tiempo medio para crear un parche

Website Security Statistics Report


6

Seguridad en el Datacenter

Protección de la infrastructura

Protección de las aplicaciones

Securizar el Acceso Remoto al Datacenter


7

Proteger la infraestructura

F5 protege su infraestructura

• Soluciones de Reverse Proxy• Protección del DNS• Network Firewall de alta capacidad

F5 mitiga los ataques Flood Sync y los DDOS• Comportamiento de denegación por defecto• Capacidad de Alta concurrencia• Detecta la Geolocalizacion de los usuarios• Packet Filtering• Carrier Grade NAT• Certificado ICSA Network Firewall V.11.1

BIG-IP LTM oculta y securiza las Aplicaciones internas

• Arquitectura de Full Proxy • Reescritura de contenido y URL• Ofuscación de Cabeceras• Offload de procesos (Caching, Compression, etc.)• Terminacion SSL de alto rendimiento

BIG-IP GTM

• Firma digitalmente las entradas DNS (DNSSEC)• Protege la infraestructura ante ataques de DDOS


8

IPSECFirewall L3

WAFSSL VPN

ICSA Certifications


9

TMOS

DNS Query:ftp.example.com

ftp.example.com = 209.200.200.10

DNS ServersF5 BIG-IP (LTM + )GTM

ftp.example.comMatches WIP or zone definition? YES

GTM responds with IP address 209.200.200.10

DNS Express

Check DNS Query against

WIPftp.example.com

Matches Zone definition ?

ZONE UPDATE11

sdfjqsjidfqsoijdfioqsjdfoiqsjfdoijqsfdoijqsdofijqsodifjoqsidjfoqisjdfoiqjsdfoijqsdfoijqsodifjqosidfjqosijdfqoisjdfqoisjdfqsiodfjoqisjdfoiqsjdfoijqsdfjoqjsodfjioqsjdfjoqsjdfjqosidfjoiqsjdfioqjsdfoijqsdfoijqsdfoqsdfsdqfjoqisdfjqisqjdioqjsdoiqqisjdoiqjsdoiqjsdjoqsjdojqosijdoqjsodjqsjodjqjdojqsdjoiqjdsqosijdoiqjdoqijdoiqjdoiqsjdoiqjdoiqjdoisdjoiqsjdoiqjdqjdoiqjdoiqdsjqoidjoj

22

DOS DNS QUERIESattack1.example.comattack2.example.comattack3.example.com

Attack1.example.comAttack2.example.comAttack3.example.com

Match Zone definition ?

Hostnamesmatches WIP or zone definition? NO

GTM reject the requests

Rejected ResponsesAttack1.example.comAttack2.example.comAttack3.example.com


10

Securizacion de la inflaestructura DNSDNS tradicional es inseguro

DNS Servers

site.example.com +dnssec?Example.com

Recursive Name server

Hacker

204.16.124.1

Solucion

• Los usuarios obtienen respuestasfirmadas

• Simple de mantener e implementar• Compatible DNSSec


11






12

Proteger las Aplicaciones

F5 protege sus aplicaciones Web

• Contra los últimos ataques de aplicaciones Web y las vulnerabilidades de las aplicaciones (DDOS, Cross Sripting …)

• Controla el flujo de la AplicaciónBIG-IP ASM

• Protege de los ultimos ataques conocidos (DDOS, Web Scraping)• Asegura el cumplimiento PCI• Resuleve rápidamente las vulnerabilidades• Logs y reports de las aplicaciones y ataques• Provee de una protección efectiva y activa contra los ataques de

aplicaciones web (DDOS, Web Scraping, HIPP …)• Seguridad para Web 2.0 ,XML, AJAX, JSON

BIG-IP ASM

• Define el flujo a seguir dentro de la lógica de la aplicación evitando las intrusiones


13

Terminología

Web Application Server

TCP 80 / SSL 443

GET /buy.php?price=10.00+USD&product=Apple+iPhone+%28cookie+capture%29&Input=Buy+it%21 HTTP/1.1Accept: */*Referer: http://202.64.224.201/item.php?id=437a4ff02f048a2fd43b553e878adcaaAccept-Language: en-us,zh-hk;q=0.5Accept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Connection: Keep-AliveCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db

OBJECT TYPES

OBJECT NAMES

PARAMETER NAMES

PARAMETER VALUES

OBJECT FLOWS

HTTP compliance


14

HTTP/1.1 200 OKDate: Wed, 08 Aug 2007 09:37:05 GMTServer: Apache/1.3.26 (Unix) PHP/4.1.2 mod_ssl/2.8.10 OpenSSL/0.9.6bX-Powered-By: PHP/4.1.2Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheKeep-Alive: timeout=15, max=100Connection: Keep-AliveTransfer-Encoding: chunkedContent-Type: text/html

Mecanismo de Protección de la aplicación


TCP 80 / SSL 443

Parametro = “ price “Valor = “ 34.000 €”


15


TCP 80 / SSL 443

Parametro = “ price “Valor = “ 34.00 USD”

POST /buy2.php HTTP/1.1Accept: */*Referer: http://202.64.224.201/buy.php?price=134.00+USD&product=DVD+Player+%28cookie+capture%29&Input=Buy+it%21Accept-Language: en-us,zh-hk;q=0.5Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Content-Length: 102Connection: Keep-AliveCache-Control: no-cacheCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db

nick=chuang&password=password&id=&action=bid&price=34.00+USD&product=DVD+Player+%28cookie+capture%29 OBJECT TYPES

OBJECT NAMES

PARAMETER NAMES

PARAMETER VALUES

OBJECT FLOWS

HTTP compliance



16


TCP 80 / SSL 443

Parameter = “ price “Value = “ 1.00 USD”

POST /buy2.php HTTP/1.1Accept: */*Referer: http://202.64.224.201/buy.php?price=10.00+USD&product=DVD+Player+%28cookie+capture%29&Input=Buy+it%21Accept-Language: en-us,zh-hk;q=0.5Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Content-Length: 102Connection: Keep-AliveCache-Control: no-cacheCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db

nick=chuang&password=password&id=&action=bid&price=1.00+USD&product=DVD+Player+%28cookie+capture%29

OBJECT TYPES

OBJECT NAMES

PARAMETER NAMES

PARAMETER VALUES

OBJECT FLOWS

HTTP complianceAtaque Detectado !!!



17

Aprendizaje flujo de AplicacionPolicy Builder: Motor de Aprendizaje


18

• Compatible con: – Cenzic Hailstorm– QualysGuard Web App. Scanning– IBM Rational AppScan– WhiteHat Sentinel

• Integrado en la politica BIG-IP ASM

• Mitigar automaticamente ataques web app

Identificar y mitigar Vulnerabilidades

Data Center


19






20

Protección del Acceso

F5 protege el Acceso al Datacenter

• Controla al usuario con una preinspección del estado

• Autentica al usuario y autoriza al uso de recursos

• Simplifica la autenticación con SSO

BIG-IP APM

• Preinspecciona diversos aspectos del cliente como el SO, Antivirus, Certificados …

• Fuerza al usuario a usar un entorno protegido en caso necesario• Fuerza al usuario a usar un Virtual Keyboard en caso necesario• Localiza la procedencia del usuario con geolocalizacion

BIG-IP APM

• Provee de distintos tipos de autenticación como Kerberos, Ldap, Radius…

• Provee al usuario de una lista de recursos disponibles segun su contexto

BIG-IP APM

• Se integra con Oracle Access Manager para SSO• Provee de mecanismos de control de usuarios y passwords para

enviar las credenciales a las aplicaciones• Permite el SSO entre multiples dominios• Hace de proxy de autenticación delegado


21

Acceso RemotoProblema: Quien, Que, Donde?

• Que tipo de dispositivos?

• Quien esta accediendo?

• Que aplicaciones son accedidas?

• Como puedo escalar el acceso remoto?


22

Contexto = Control de Acceso

• Unificar TODOS los accesos

• Adaptar el acceso en funcion del contexto

• Aplicar la seguridad en el Endpoint

• Escalar el servicio / alto rendimientos. 60K users

Manage Access Based on

Identity and device


23

Acceso Remoto Seguro y AceleradoSSL VPN


24

Accesso a Servicios flexible y dinamicoCompatible con VDI Citrix , VmWare, Windows


25


26


27


28

DNS WEB ACCESS

© 2011 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, iControl, iRules, TMOS,and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries

Security-Desayuno-F5-Abril-2012.pptx [Sólo lectura] · 2012-05-03 · © F5 Networks, Inc. 9 TMOS...

Documents

Transcript of Security-Desayuno-F5-Abril-2012.pptx [Sólo lectura] · 2012-05-03 · © F5 Networks, Inc. 9 TMOS...