Raul Flores FSE Leader

Transcripción

1 SEGURIDAD F5 Raul Flores FSE Leader

2 2 Algunas frases hablando de Seguridad... [ ] Ya tenemos Firewalls y IPS [ ] [ ] Usamos SSL [ ] [ ] Para el servicio DNS controlamos el puerto 53 [ ]

3 3 Los Hackers cambian los métodos!!!!! Insolito: Ataque de SQL Injection a Radares!!!!!!

4 4 La realidad es que Las amenazas evolucionan, cambian comportamientos Figure 15 and 16: Verizon 2011 Data Breach Investigations Report

5 5 Tiempo medio para crear un parche Website Security Statistics Report

6 6 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter

7 7 Proteger la infraestructura BIG-IP GTM F5 protege su infraestructura Firma digitalmente las entradas DNS (DNSSEC) Protege la infraestructura ante ataques de DDOS Soluciones de Reverse Proxy Protección del DNS Network Firewall de alta capacidad BIG-IP LTM oculta y securiza las Aplicaciones internas F5 mitiga los ataques Flood Sync y los DDOS Comportamiento de denegación Arquitectura por defecto Full Proxy Capacidad de Alta concurrencia Reescritura de contenido y URL Ofuscación de Cabeceras Detecta la Geolocalizacion Offload de los usuarios de procesos (Caching, Compression, etc.) Packet Filtering Terminacion SSL de alto rendimiento Carrier Grade NAT Certificado ICSA Network Firewall V.11.1

8 8 ICSA Certifications Firewall L3 IPSEC SSL VPN WAF

9 9 DNS Express F5 BIG-IP (LTM + )GTM DNS Servers DNS Query: ftp.example.com DOS DNS QUERIES attack1.example.com attack2.example.com attack3.example.com Check DNS Query against WIP TMOS Attack1.example.com ftp.example.com Attack2.example.com Attack3.example.com Matches Zone Match definition Zone? definition? 1 2 ZONE UPDATE sdfjqsjidfqsoijdfioqsjdfoiqsjfdoijq sfdoijqsdofijqsodifjoqsidjfoqisjdf oiqjsdfoijqsdfoijqsodifjqosidfjqo sijdfqoisjdfqoisjdfqsiodfjoqisjdfoi qsjdfoijqsdfjoqjsodfjioqsjdfjoqsj dfjqosidfjoiqsjdfioqjsdfoijqsdfoij qsdfoqsdfsdqfjoqisdfjqisqjdioqjs doiqqisjdoiqjsdoiqjsdjoqsjdojqo sijdoqjsodjqsjodjqjdojqsdjoiqjds qosijdoiqjdoqijdoiqjdoiqsjdoiqjd oiqjdoisdjoiqsjdoiqjdqjdoiqjdoiq dsjqoidjoj Rejected Responses Attack1.example.com ftp.example.com Attack2.example.com = Attack3.example.com Hostnames ftp.example.com matches Matches WIP WIP or zone or zone definition? NOYES GTM reject responds the requests with IP address

10 10 Securizacion de la inflaestructura DNS DNS tradicional es inseguro site.example.com +dnssec? Recursive Name server Example.com DNS Servers Solucion Los usuarios obtienen respuestas firmadas Simple de mantener e implementar Compatible DNSSec Hacker

11 11 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter

12 12 Proteger las Aplicaciones BIG-IP ASM Define el flujo a seguir dentro de la lógica de la aplicación evitando las F5 protege intrusiones sus aplicaciones Web Contra los últimos ataques de aplicaciones Web y las vulnerabilidades de las aplicaciones (DDOS, Cross BIG-IP ASM Sripting ) Controla Protege de el los flujo ultimosde ataques la Aplicación conocidos (DDOS, Web Scraping) Asegura el cumplimiento PCI Resuleve rápidamente las vulnerabilidades Logs y reports de las aplicaciones y ataques Provee de una protección efectiva y activa contra los ataques de aplicaciones web (DDOS, Web Scraping, HIPP ) Seguridad para Web 2.0,XML, AJAX, JSON

13 Terminología 13 GET /buy.php?price=10.00+usd&product=apple+iphone+%28cookie+capture%29&input=buy+it%21 HTTP/1.1 Accept: */* Referer: Accept-Language: en-us,zh-hk;q=0.5 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR ;.NET CLR ; InfoPath.1) Host: Connection: Keep-Alive Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES OBJECT TYPES HTTP compliance TCP 80 / SSL 443 Web Application Server

14 Mecanismo de Protección de la aplicación 14 HTTP/ OK Date: Wed, 08 Aug :37:05 GMT Server: Apache/ (Unix) PHP/4.1.2 mod_ssl/ OpenSSL/0.9.6b X-Powered-By: PHP/4.1.2 Expires: Thu, 19 Nov :52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, precheck=0 Pragma: no-cache Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html TCP 80 / SSL 443 Parametro = price Valor = Web Application Server

15 Mecanismo de Protección de la aplicación 15 POST /buy2.php HTTP/1.1 Accept: */* Referer: 1 Accept-Language: en-us,zh-hk;q=0.5 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR ;.NET CLR ; InfoPath.1) Host: Content-Length: 102 Connection: Keep-Alive Cache-Control: no-cache Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES nick=chuang&password=password&id=&action=bid&price=34.00+usd&product=dvd+player+%28cookie+capture %29 OBJECT TYPES HTTP compliance TCP 80 / SSL 443 Parametro = price Valor = USD Web Application Server

16 16 Mecanismo de Protección de la aplicación POST /buy2.php HTTP/1.1 Accept: */* Referer: Accept-Language: en-us,zh-hk;q=0.5 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR ;.NET CLR ; InfoPath.1) Host: Content-Length: 102 Connection: Keep-Alive Cache-Control: no-cache Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db nick=chuang&password=password&id=&action=bid&price=1.00+usd&product=dvd+player+%28cookie+capture% 29 OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES OBJECT TYPES Ataque Detectado!!! HTTP compliance TCP 80 / SSL 443 Parameter = price Value = 1.00 USD Web Application Server

17 Aprendizaje flujo de Aplicacion Policy Builder: Motor de Aprendizaje 17

18 18 Identificar y mitigar Vulnerabilidades Compatible con: Cenzic Hailstorm QualysGuard Web App. Scanning IBM Rational AppScan WhiteHat Sentinel Integrado en la politica BIG-IP ASM Mitigar automaticamente ataques web app Data Center

19 19 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter

20 20 Protección del Acceso BIG-IP APM Se integra con Oracle Access Manager para SSO Provee de mecanismos de control de usuarios y passwords para enviar las credenciales a las aplicaciones F5 protege el Acceso al Datacenter Controla Permite el al SSO usuario entre multiples con una dominios preinspección del Hace de proxy de autenticación delegado estado Autentica al usuario y autoriza al uso de recursos BIG-IP APM Simplifica la autenticación con SSO Preinspecciona diversos aspectos del cliente como el SO, Antivirus, Certificados BIG-IP Fuerza APMal usuario a usar un entorno protegido en caso necesario Provee Fuerzade al distintos usuario a tipos usarde un autenticación Virtual Keyboard como en Kerberos, caso necesario Ldap, Radius Localiza la procedencia del usuario con geolocalizacion Provee al usuario de una lista de recursos disponibles segun su contexto

21 21 Acceso Remoto Problema: Quien, Que, Donde? Que tipo de dispositivos? Quien esta accediendo? Que aplicaciones son accedidas? Como puedo escalar el acceso remoto?

22 22 Contexto = Control de Acceso Unificar TODOS los accesos Adaptar el acceso en funcion del contexto Aplicar la seguridad en el Endpoint Manage Access Based on Identity and device Escalar el servicio / alto rendimientos. 60K users

23 23 Acceso Remoto Seguro y Acelerado SSL VPN

24 24 Accesso a Servicios flexible y dinamico Compatible con VDI Citrix, VmWare, Windows

25 25

26 26

27 27

28 28 DNS WEB ACCESS

29 2011 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, icontrol, irules, TMOS, and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries