Upload
agility-networks
View
554
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
Soluções de Segurança – F5 GTMRodrigo EV, SE Manager
v20131009a
Segurança
Problemas
Slide 3
Quais são os “TOP 5” problemas atuais?Worms, Virus e SPAMs
Roubo de informações
Disponibilidade dos serviços
Legislação de Segurança
O Desconhecido
Slide 4
• Começa simples…
• Mais usuários e serviços
• Falhas de aplicações
• Brechas de Segurança
• Indisponibilidades
• Alto Custo
• Insatisfação
Data Center
Slide 5
Ataques Codificados
Slide 6
Novo padrão comportamental de ataquesNão há mais
capanha pública antes dos ataques
Sem aviso prévio
Pequena quantidade de hackers lançam os ataques
Pequena quantidade
de bots participando
Os métodos de ataque
mudam durante o
ataque
Slide 7
DDoS agora virou 3DoS• Diverse Distributed Denial of
Service
• Não apenas os ataques são distribuídos, mas também sua natureza varia de camada 3-7
• Os ataques são realizados simultaneamente
Conteúdo (tipo,
tamanho, segurança)
Status da Aplicação
(desempenho, localização, capacidade)
Clientes(Localização, equipamento, relaciona-
mento)
Condições de rede(local,
remoto, público, privado)
Slide 8
Atualmente, é um risco enorme
deixar um firewall
tradicional “de cara” para a
internet!!
Segurança
Problemas
Impactos
Slide 10
©Verizon 2011 Data Breach Investigations Report
Slide 11
Slide 13
Vulnerabilidades móveis (cont.)
Slide 14Figure 1: 2011 Sampling of Security Incidents by Attack Type, Time and Impact
Fox News X-Factor
Citigroup
BethesdaSoftware
ItalyPM Site
Epsilon
Sony
RSA
HB Gary
NortropGrunman
SpanishNat Police
Sega
GmailAccounts
PBS
PBS
SOCA
MalaysianGov Site
Nintendo
PeruSpecialPolice
NATO
TurkishGovernment
US SenateAZ Police
LockheedMartin
Sony BMGGreece
L3 Communications
BoozAllen
Hamilton
Monsanto
Diginotar
VanguardDefense
Hong KongStock Exchange
BrazilGov
SK CommunicationsKorea
NetNamesDNS Service
NetNamesDNS Service
US LawEnforcement
TGKK
MitsubishiHeavy Industries
EpsonKorea
PCSConsulting
ValveSteam
FinnishGovernment
Sites
178.com
Duowan
CSDN
Trion
Nexon7K7K.com
Tian.ya
Adidas
Israeli andPalestinian Sites
Stratfor
UnitedNations
Sony
NorwayMSN
ItalianMinistry
Hemmelig.com
SQL injection
URL tampering
Spear phishing
Third-party software
DDoS
SecureID
Trojan software
Unknown
IMF
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Size of circle estimates relative impact of breach in terms of cost to business
Attack type
Slide 15
Slide 16
Slide 17
Slide 18
Segurança
Problemas
Impactos
Soluções
Slide 21
Slide 22
Viável
Flexível
Simples
Disponível
Seguro
Rápido
Slide 23
Não existe uma única solução mágica!
Slide 24
DataCenter (Inbound)
Corporate (Outbound)
Existem hoje basicamente dois tipos de tráfego:
Slide 25
Arquitetura Dinâmica• Se reconfigura
dinamicamente
• Gerencia aplicações, não objetos ou blocos IP
• Políticas por contexto
Slide 26
Onde cada solução F5 atua?
Ataques de AplicaçãoAtaques de Rede Ataques de Sessão
OWASP Top 10 (SQL Injection, XSS, CSRF, etc.), Slowloris, Slow Post, HashDos, GET Floods
SYN Flood, Connection Flood, UDP Flood, Push e ACK Floods, Teardrop, ICMP Floods, Ping Floods e Smurf Attacks
BIG-IP ASMPositive and negative policy reinforcement, iRules, full proxy for HTTP, server performance anomaly detection
DNS UDP Floods, DNS Query Floods, DNS NXDOMAIN Floods, SSL Floods, SSL Renegotiation
BIG-IP LTM e GTMHigh-scale performance, DNS Express, SSL termination, iRules, SSL renegotiation validation
BIG-IP AFMSynCheck, default-deny posture, tabela de conexões de alta capacidade, visibilidade full-proxy, rate-limiting, strict TCP forwarding.
Packet Velocity Accelerator (PVA) é uma solução em hardware criada que aumenta a escalabidade do sistema, aliviando a CPU para funções específicas como SSL, compressão HTTP e DoS.
Aplicação (7)Apresentação (6)Sesssão (5)Transporte
(4)Rede (3)Data Link (2)Física (1)
Crescente dificuldade de detecção de ataque
Segurança
Problemas
Impactos
Soluções• F5 Global Traffic Manager• F5 Application Firewall Manager• F5 Application Policy Manager• F5 Application Security Manager
e WhiteHat• PaloAlto• ForeScout
Slide 28
Slide 29
BIG-IP GTM BIG-IP GTM
BIG-IP GTM com
geolocalização por IP
Slide 30
Análise de Acessos• Aplicações
• Virtual Servers
• Query Name
• Query Type
• Client IP
Slide 31
Otimização
• Balanceamento de Carga Dinâmico entre DataCenters
• Otimização TCP• Monitoramento de Saúde• Geolocalização• Failover automático entre
sites• Tradução IPv6/IPv4• DNS Offload
Segurança
• Garantia de Transação• DNS iRules• DNSSEC dinâmico• Mitigação de DNS DDoS• DNS Firewall
Funcionalidades
Slide 32
“BIG-IP GTM has had an immediate and profound effect on our reliability. If a resource ever goes down, it reduces our downtime from 8–10 minutes to a couple of milliseconds.
Don Wood,Director of Technology, DNSstuff.com
Slide 33
Status dos Clientes• Localização, equipamento, relacionamento
Conteúdo• tipo, tamanho, segurança
Condições de rede
• local, remoto,público, privado
Status do Site
• performance,
localização,capacidade
Slide 34
Distribuir os acessos entre as nuvens
Slide 35
Limitar acesso por LocalizaçãoComo bloquear acessos de países ou regiões por restrições de compliance?
Slide 36
DNSSECSimple DNSSEC compliance:
• Implement BIG-IP GTM in front of existing DNS servers
• Ensure trusted DNS queries with dynamically signed responses
• Reduce management costs
Slide 37
DNSSEC em três passos1 2 3
1. Create the key signing key (KSK)2. Create the zone signing key (ZSK)3. Create the DNSSEC zone with the KSK and ZSK keys
Slide 38
GeolocationLocation Included Premium
Continent ✔ ✔
Country ✔ ✔
State ✔ ✔
Carrier ✔ ✔
Registered Org ✔ ✔
City ✔
Post / Zip Code ✔
Lat / Long ✔
Confidence Factor ✔
Routing Type ✔
when DNS_REQUEST {
if {[whereis [IP::client_addr]] contains "Asia"} {
pool asia_pool
} else {
pool general_pool }}
Slide 39
Configurações de Link
Slide 40
Benefícios• Eliminar downtime causados por falhas de link e ISP;• Melhorar o desempenho das aplicações;• Controlar custos com ISP;• Ter granularidade de configurações;• Melhor monitoramento dos links/DataCenters;• DNSSEC, Geolocalização e Topologia;• Elimina as barreiras do Multi-Homing com BGP:
• Não há necessidade de roteadores gigantescos,• Nem coordenação entre operadoras• Nem custos com bloco IP próprio (AS) e gerenciamento.
Slide 41
BGP GTM
Alta Disponibilidade Balanceamento
Granularidade e métricas
Diversas operadoras diferentes
Alta Disponibilidade
Bloco IP /24 e filtros
Interligar múltiplas redes
Slide 42
BGP e GTMForam feitos para resolver problemas
diferentes
BGP interliga múltiplas redes
Filtros para não virar
trânsito de múltiplas
operadoras
Não tem granularidad
e e não considera consumo
GTM usa operadoras diferentes com redes
diferentes
15 métricas (usuário, link e
infra)
Funciona via DNS com
granularidade por host
Slide 43
Destino Next HopMétric
a
192.168.0.1/32 B 10
192.168.0.1/32 C 10
Destino Next HopMétric
a
192.168.0.1/32 B 10
192.168.0.1/32 C 10
192.168.0.1/32 D 10
Como funciona o IP AnyCast?IP 10.10.0.1 (Unicast)192.168.0.1 (AnyCast)
IP 10.20.0.2 (Unicast)192.168.0.1 (AnyCast)
IP 10.30.0.1 (Unicast)192.168.0.1 (AnyCast)
B
D
A
Cliente172.16.0.1
E
FC
G
Rota 192.168.0.1/32 via BGP
Rota 192.168.0.1/32 via BGP
Rota 192.168.0.1/32 via BGP
Slide 44
Parceria com InfoBlox®• More than 35,000 appliances installed
worldwide in 30+ countries• 3,500+ customers• 325 employees worldwide• Introduced world’s first integrated DNS, DHCP,
and IPAM appliances• Gartner ranked Infoblox the highest “Strong
Positive” in DDI MarketScope• IDC market analysis ranked Infoblox #1 for
DNS/DHCP/IPAM appliance vendors• Experienced management team and technical
leadership• CEO, CFO, and Sales VP: built NetScreen• Cricket Liu VP, author of DNS and BIND
© 2010 Infoblox Inc. All Rights Reserved.
Slide 45
Desempenho incomparável• Permite acesso mesmo durante picos de acesso• Escalabilidade via hardware
• CMP habilitado utilizando todos os cores de processamento
• Até 6 milhões de QPS• Cada CPU Core ~ a um bom servidor DNS: +130k QPS
600k
QPS
1.5M QPS
3M QPS
6M QPS
2M QPS
Slide 46
Queries DNS 6 milhões/s
SSL TPS 600 mil/s
Throughput 320Gbps
Concurrent Conn. 192 Milhões
New Connections/s 5,6 Milhões
DNS Security
Perfil Corporativo
Slide 48
Slide 49
Consultoria
SuporteMonitoraçã
oOperação
Slide 50
Agility e F5 – Uma parceria de Sucessoen
orm
e
Slide 51
+400 BIG-
IPs implementado
s pela Agility
Networks
+100
Empresas atendidas
pela Agility Networks
6 anos
como melhor
parceiro F5 Brasil e 3
anos LATAM
Foco Especializaçã
o diferenciad
a e conhecimento
meuBIG-IP
Serviços e Suporte 7x24 com RMA e
monitoramento
20062007200820092010 +LATAM +Best Project2011: Excelência Técnica2012 +LATAM +único Platinum