security-desayuno-f5-abril-2012.pptx [sólo lectura] · 2012-05-03 · © f5 networks, inc. 9 tmos...
TRANSCRIPT
SEGURIDAD F5SEGURIDAD F5
Raul FloresFSE Leader
© F5 Networks, Inc.
2
• „[…] Ya tenemos Firewalls y IPS […]“
• „[…] Usamos SSL […]“
• „[…] Para el servicio DNS controlamos el puerto 53 […]“
Algunas frases hablando de Seguridad...
© F5 Networks, Inc.
3
Los Hackers cambian los métodos !!!!!
• Insolito: Ataque de “SQL Injection” a Radares !!!!!!
© F5 Networks, Inc.
4
La realidad es queLas amenazas evolucionan, cambian comportamientos
Figure 15 and 16: Verizon 2011 Data Breach Investigations Report
© F5 Networks, Inc.
5
Tiempo medio para crear un parche
Website Security Statistics Report
© F5 Networks, Inc.
6
Seguridad en el Datacenter
Protección de la infrastructura
Protección de las aplicaciones
Securizar el Acceso Remoto al Datacenter
© F5 Networks, Inc.
7
Proteger la infraestructura
F5 protege su infraestructura
• Soluciones de Reverse Proxy• Protección del DNS• Network Firewall de alta capacidad
F5 mitiga los ataques Flood Sync y los DDOS• Comportamiento de denegación por defecto• Capacidad de Alta concurrencia• Detecta la Geolocalizacion de los usuarios• Packet Filtering• Carrier Grade NAT• Certificado ICSA Network Firewall V.11.1
BIG-IP LTM oculta y securiza las Aplicaciones internas
• Arquitectura de Full Proxy • Reescritura de contenido y URL• Ofuscación de Cabeceras• Offload de procesos (Caching, Compression, etc.)• Terminacion SSL de alto rendimiento
BIG-IP GTM
• Firma digitalmente las entradas DNS (DNSSEC)• Protege la infraestructura ante ataques de DDOS
© F5 Networks, Inc.
8
IPSECFirewall L3
WAFSSL VPN
ICSA Certifications
© F5 Networks, Inc.
9
TMOS
DNS Query:ftp.example.com
ftp.example.com = 209.200.200.10
DNS ServersF5 BIG-IP (LTM + )GTM
ftp.example.comMatches WIP or zone definition? YES
GTM responds with IP address 209.200.200.10
DNS Express
Check DNS Query against
WIPftp.example.com
Matches Zone definition ?
ZONE UPDATE11
sdfjqsjidfqsoijdfioqsjdfoiqsjfdoijqsfdoijqsdofijqsodifjoqsidjfoqisjdfoiqjsdfoijqsdfoijqsodifjqosidfjqosijdfqoisjdfqoisjdfqsiodfjoqisjdfoiqsjdfoijqsdfjoqjsodfjioqsjdfjoqsjdfjqosidfjoiqsjdfioqjsdfoijqsdfoijqsdfoqsdfsdqfjoqisdfjqisqjdioqjsdoiqqisjdoiqjsdoiqjsdjoqsjdojqosijdoqjsodjqsjodjqjdojqsdjoiqjdsqosijdoiqjdoqijdoiqjdoiqsjdoiqjdoiqjdoisdjoiqsjdoiqjdqjdoiqjdoiqdsjqoidjoj
22
DOS DNS QUERIESattack1.example.comattack2.example.comattack3.example.com
Attack1.example.comAttack2.example.comAttack3.example.com
Match Zone definition ?
Hostnamesmatches WIP or zone definition? NO
GTM reject the requests
Rejected ResponsesAttack1.example.comAttack2.example.comAttack3.example.com
© F5 Networks, Inc.
10
Securizacion de la inflaestructura DNSDNS tradicional es inseguro
DNS Servers
site.example.com +dnssec?Example.com
Recursive Name server
Hacker
204.16.124.1
Solucion
• Los usuarios obtienen respuestasfirmadas
• Simple de mantener e implementar• Compatible DNSSec
© F5 Networks, Inc.
11
Seguridad en el Datacenter
Protección de la infrastructura
Protección de las aplicaciones
Securizar el Acceso Remoto al Datacenter
© F5 Networks, Inc.
12
Proteger las Aplicaciones
F5 protege sus aplicaciones Web
• Contra los últimos ataques de aplicaciones Web y las vulnerabilidades de las aplicaciones (DDOS, Cross Sripting …)
• Controla el flujo de la AplicaciónBIG-IP ASM
• Protege de los ultimos ataques conocidos (DDOS, Web Scraping)• Asegura el cumplimiento PCI• Resuleve rápidamente las vulnerabilidades• Logs y reports de las aplicaciones y ataques• Provee de una protección efectiva y activa contra los ataques de
aplicaciones web (DDOS, Web Scraping, HIPP …)• Seguridad para Web 2.0 ,XML, AJAX, JSON
BIG-IP ASM
• Define el flujo a seguir dentro de la lógica de la aplicación evitando las intrusiones
© F5 Networks, Inc.
13
Terminología
Web Application Server
TCP 80 / SSL 443
GET /buy.php?price=10.00+USD&product=Apple+iPhone+%28cookie+capture%29&Input=Buy+it%21 HTTP/1.1Accept: */*Referer: http://202.64.224.201/item.php?id=437a4ff02f048a2fd43b553e878adcaaAccept-Language: en-us,zh-hk;q=0.5Accept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Connection: Keep-AliveCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db
OBJECT TYPES
OBJECT NAMES
PARAMETER NAMES
PARAMETER VALUES
OBJECT FLOWS
HTTP compliance
© F5 Networks, Inc.
14
HTTP/1.1 200 OKDate: Wed, 08 Aug 2007 09:37:05 GMTServer: Apache/1.3.26 (Unix) PHP/4.1.2 mod_ssl/2.8.10 OpenSSL/0.9.6bX-Powered-By: PHP/4.1.2Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheKeep-Alive: timeout=15, max=100Connection: Keep-AliveTransfer-Encoding: chunkedContent-Type: text/html
Mecanismo de Protección de la aplicación
Web Application Server
TCP 80 / SSL 443
Parametro = “ price “Valor = “ 34.000 €”
© F5 Networks, Inc.
15
Web Application Server
TCP 80 / SSL 443
Parametro = “ price “Valor = “ 34.00 USD”
POST /buy2.php HTTP/1.1Accept: */*Referer: http://202.64.224.201/buy.php?price=134.00+USD&product=DVD+Player+%28cookie+capture%29&Input=Buy+it%21Accept-Language: en-us,zh-hk;q=0.5Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Content-Length: 102Connection: Keep-AliveCache-Control: no-cacheCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db
nick=chuang&password=password&id=&action=bid&price=34.00+USD&product=DVD+Player+%28cookie+capture%29 OBJECT TYPES
OBJECT NAMES
PARAMETER NAMES
PARAMETER VALUES
OBJECT FLOWS
HTTP compliance
Mecanismo de Protección de la aplicación
© F5 Networks, Inc.
16
Web Application Server
TCP 80 / SSL 443
Parameter = “ price “Value = “ 1.00 USD”
POST /buy2.php HTTP/1.1Accept: */*Referer: http://202.64.224.201/buy.php?price=10.00+USD&product=DVD+Player+%28cookie+capture%29&Input=Buy+it%21Accept-Language: en-us,zh-hk;q=0.5Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)Host: 202.64.224.201Content-Length: 102Connection: Keep-AliveCache-Control: no-cacheCookie: SESSION=042b8eff143fd888610b0b44a4dbd1db
nick=chuang&password=password&id=&action=bid&price=1.00+USD&product=DVD+Player+%28cookie+capture%29
OBJECT TYPES
OBJECT NAMES
PARAMETER NAMES
PARAMETER VALUES
OBJECT FLOWS
HTTP complianceAtaque Detectado !!!
Mecanismo de Protección de la aplicación
© F5 Networks, Inc.
17
Aprendizaje flujo de AplicacionPolicy Builder: Motor de Aprendizaje
© F5 Networks, Inc.
18
• Compatible con: – Cenzic Hailstorm– QualysGuard Web App. Scanning– IBM Rational AppScan– WhiteHat Sentinel
• Integrado en la politica BIG-IP ASM
• Mitigar automaticamente ataques web app
Identificar y mitigar Vulnerabilidades
Data Center
© F5 Networks, Inc.
19
Seguridad en el Datacenter
Protección de la infrastructura
Protección de las aplicaciones
Securizar el Acceso Remoto al Datacenter
© F5 Networks, Inc.
20
Protección del Acceso
F5 protege el Acceso al Datacenter
• Controla al usuario con una preinspección del estado
• Autentica al usuario y autoriza al uso de recursos
• Simplifica la autenticación con SSO
BIG-IP APM
• Preinspecciona diversos aspectos del cliente como el SO, Antivirus, Certificados …
• Fuerza al usuario a usar un entorno protegido en caso necesario• Fuerza al usuario a usar un Virtual Keyboard en caso necesario• Localiza la procedencia del usuario con geolocalizacion
BIG-IP APM
• Provee de distintos tipos de autenticación como Kerberos, Ldap, Radius…
• Provee al usuario de una lista de recursos disponibles segun su contexto
BIG-IP APM
• Se integra con Oracle Access Manager para SSO• Provee de mecanismos de control de usuarios y passwords para
enviar las credenciales a las aplicaciones• Permite el SSO entre multiples dominios• Hace de proxy de autenticación delegado
© F5 Networks, Inc.
21
Acceso RemotoProblema: Quien, Que, Donde?
• Que tipo de dispositivos?
• Quien esta accediendo?
• Que aplicaciones son accedidas?
• Como puedo escalar el acceso remoto?
© F5 Networks, Inc.
22
Contexto = Control de Acceso
• Unificar TODOS los accesos
• Adaptar el acceso en funcion del contexto
• Aplicar la seguridad en el Endpoint
• Escalar el servicio / alto rendimientos. 60K users
Manage Access Based on
Identity and device
© F5 Networks, Inc.
23
Acceso Remoto Seguro y AceleradoSSL VPN
© F5 Networks, Inc.
24
Accesso a Servicios flexible y dinamicoCompatible con VDI Citrix , VmWare, Windows
© F5 Networks, Inc.
25
© F5 Networks, Inc.
26
© F5 Networks, Inc.
27
© F5 Networks, Inc.
28
DNS WEB ACCESS
© 2011 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, iControl, iRules, TMOS,and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries