SEGURIDAD F5 Raul Flores FSE Leader
2 Algunas frases hablando de Seguridad... [ ] Ya tenemos Firewalls y IPS [ ] [ ] Usamos SSL [ ] [ ] Para el servicio DNS controlamos el puerto 53 [ ]
3 Los Hackers cambian los métodos!!!!! Insolito: Ataque de SQL Injection a Radares!!!!!!
4 La realidad es que Las amenazas evolucionan, cambian comportamientos Figure 15 and 16: Verizon 2011 Data Breach Investigations Report
5 Tiempo medio para crear un parche Website Security Statistics Report
6 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter
7 Proteger la infraestructura BIG-IP GTM F5 protege su infraestructura Firma digitalmente las entradas DNS (DNSSEC) Protege la infraestructura ante ataques de DDOS Soluciones de Reverse Proxy Protección del DNS Network Firewall de alta capacidad BIG-IP LTM oculta y securiza las Aplicaciones internas F5 mitiga los ataques Flood Sync y los DDOS Comportamiento de denegación Arquitectura por defecto Full Proxy Capacidad de Alta concurrencia Reescritura de contenido y URL Ofuscación de Cabeceras Detecta la Geolocalizacion Offload de los usuarios de procesos (Caching, Compression, etc.) Packet Filtering Terminacion SSL de alto rendimiento Carrier Grade NAT Certificado ICSA Network Firewall V.11.1
8 ICSA Certifications Firewall L3 IPSEC SSL VPN WAF
9 DNS Express F5 BIG-IP (LTM + )GTM DNS Servers DNS Query: ftp.example.com DOS DNS QUERIES attack1.example.com attack2.example.com attack3.example.com Check DNS Query against WIP TMOS Attack1.example.com ftp.example.com Attack2.example.com Attack3.example.com Matches Zone Match definition Zone? definition? 1 2 ZONE UPDATE sdfjqsjidfqsoijdfioqsjdfoiqsjfdoijq sfdoijqsdofijqsodifjoqsidjfoqisjdf oiqjsdfoijqsdfoijqsodifjqosidfjqo sijdfqoisjdfqoisjdfqsiodfjoqisjdfoi qsjdfoijqsdfjoqjsodfjioqsjdfjoqsj dfjqosidfjoiqsjdfioqjsdfoijqsdfoij qsdfoqsdfsdqfjoqisdfjqisqjdioqjs doiqqisjdoiqjsdoiqjsdjoqsjdojqo sijdoqjsodjqsjodjqjdojqsdjoiqjds qosijdoiqjdoqijdoiqjdoiqsjdoiqjd oiqjdoisdjoiqsjdoiqjdqjdoiqjdoiq dsjqoidjoj Rejected Responses Attack1.example.com ftp.example.com Attack2.example.com = 209.200.200.10 Attack3.example.com Hostnames ftp.example.com matches Matches WIP WIP or zone or zone definition? NOYES GTM reject responds the requests with IP address 209.200.200.10
10 Securizacion de la inflaestructura DNS DNS tradicional es inseguro site.example.com +dnssec? Recursive Name server Example.com 204.16.124.1 DNS Servers Solucion Los usuarios obtienen respuestas firmadas Simple de mantener e implementar Compatible DNSSec Hacker
11 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter
12 Proteger las Aplicaciones BIG-IP ASM Define el flujo a seguir dentro de la lógica de la aplicación evitando las F5 protege intrusiones sus aplicaciones Web Contra los últimos ataques de aplicaciones Web y las vulnerabilidades de las aplicaciones (DDOS, Cross BIG-IP ASM Sripting ) Controla Protege de el los flujo ultimosde ataques la Aplicación conocidos (DDOS, Web Scraping) Asegura el cumplimiento PCI Resuleve rápidamente las vulnerabilidades Logs y reports de las aplicaciones y ataques Provee de una protección efectiva y activa contra los ataques de aplicaciones web (DDOS, Web Scraping, HIPP ) Seguridad para Web 2.0,XML, AJAX, JSON
Terminología 13 GET /buy.php?price=10.00+usd&product=apple+iphone+%28cookie+capture%29&input=buy+it%21 HTTP/1.1 Accept: */* Referer: http://202.64.224.201/item.php?id=437a4ff02f048a2fd43b553e878adcaa Accept-Language: en-us,zh-hk;q=0.5 Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) Host: 202.64.224.201 Connection: Keep-Alive Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES OBJECT TYPES HTTP compliance TCP 80 / SSL 443 Web Application Server
Mecanismo de Protección de la aplicación 14 HTTP/1.1 200 OK Date: Wed, 08 Aug 2007 09:37:05 GMT Server: Apache/1.3.26 (Unix) PHP/4.1.2 mod_ssl/2.8.10 OpenSSL/0.9.6b X-Powered-By: PHP/4.1.2 Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate, post-check=0, precheck=0 Pragma: no-cache Keep-Alive: timeout=15, max=100 Connection: Keep-Alive Transfer-Encoding: chunked Content-Type: text/html TCP 80 / SSL 443 Parametro = price Valor = 34.000 Web Application Server
Mecanismo de Protección de la aplicación 15 POST /buy2.php HTTP/1.1 Accept: */* Referer: http://202.64.224.201/buy.php?price=134.00+usd&product=dvd+player+%28cookie+capture%29&input=buy+it%2 1 Accept-Language: en-us,zh-hk;q=0.5 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) Host: 202.64.224.201 Content-Length: 102 Connection: Keep-Alive Cache-Control: no-cache Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES nick=chuang&password=password&id=&action=bid&price=34.00+usd&product=dvd+player+%28cookie+capture %29 OBJECT TYPES HTTP compliance TCP 80 / SSL 443 Parametro = price Valor = 34.00 USD Web Application Server
16 Mecanismo de Protección de la aplicación POST /buy2.php HTTP/1.1 Accept: */* Referer: http://202.64.224.201/buy.php?price=10.00+usd&product=dvd+player+%28cookie+capture%29&input=buy+it%21 Accept-Language: en-us,zh-hk;q=0.5 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) Host: 202.64.224.201 Content-Length: 102 Connection: Keep-Alive Cache-Control: no-cache Cookie: SESSION=042b8eff143fd888610b0b44a4dbd1db nick=chuang&password=password&id=&action=bid&price=1.00+usd&product=dvd+player+%28cookie+capture% 29 OBJECT FLOWS PARAMETER VALUES PARAMETER NAMES OBJECT NAMES OBJECT TYPES Ataque Detectado!!! HTTP compliance TCP 80 / SSL 443 Parameter = price Value = 1.00 USD Web Application Server
Aprendizaje flujo de Aplicacion Policy Builder: Motor de Aprendizaje 17
18 Identificar y mitigar Vulnerabilidades Compatible con: Cenzic Hailstorm QualysGuard Web App. Scanning IBM Rational AppScan WhiteHat Sentinel Integrado en la politica BIG-IP ASM Mitigar automaticamente ataques web app Data Center
19 Seguridad en el Datacenter Protección de la infrastructura Protección de las aplicaciones Securizar el Acceso Remoto al Datacenter
20 Protección del Acceso BIG-IP APM Se integra con Oracle Access Manager para SSO Provee de mecanismos de control de usuarios y passwords para enviar las credenciales a las aplicaciones F5 protege el Acceso al Datacenter Controla Permite el al SSO usuario entre multiples con una dominios preinspección del Hace de proxy de autenticación delegado estado Autentica al usuario y autoriza al uso de recursos BIG-IP APM Simplifica la autenticación con SSO Preinspecciona diversos aspectos del cliente como el SO, Antivirus, Certificados BIG-IP Fuerza APMal usuario a usar un entorno protegido en caso necesario Provee Fuerzade al distintos usuario a tipos usarde un autenticación Virtual Keyboard como en Kerberos, caso necesario Ldap, Radius Localiza la procedencia del usuario con geolocalizacion Provee al usuario de una lista de recursos disponibles segun su contexto
21 Acceso Remoto Problema: Quien, Que, Donde? Que tipo de dispositivos? Quien esta accediendo? Que aplicaciones son accedidas? Como puedo escalar el acceso remoto?
22 Contexto = Control de Acceso Unificar TODOS los accesos Adaptar el acceso en funcion del contexto Aplicar la seguridad en el Endpoint Manage Access Based on Identity and device Escalar el servicio / alto rendimientos. 60K users
23 Acceso Remoto Seguro y Acelerado SSL VPN
24 Accesso a Servicios flexible y dinamico Compatible con VDI Citrix, VmWare, Windows
25
26
27
28 DNS WEB ACCESS
2011 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, ARX, FirePass, icontrol, irules, TMOS, and VIPRION are registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries