F5 Networks. 2 Customer Cases. Jan-Bart Hilhorst Public Sector

Transcriptie

1 F5 Networks 2 Customer Cases Jan-Bart Hilhorst Public Sector

2 AGENDA Case 1: SSL Off Load Case 2: Een nieuwe NGFW wat nu?

3 Case 1

4 ase 1 Klantvraag: Wij zijn op zoek naar een SSL Offload oplossing.

5 5 voor SSL Offload en Certificate Management Encrypted HTTPS SSL & Certificate HTTP SSL & Certificate SSL & Certificate SSL & Certificate ntelligently maintain SSL session ersistence ccelerate both SSL Key Exchange Bulk Encryption High-performance SSL handling via dedicated crypto hardware Reduce SSL deployment complexity Optional SSL to server using different-strength keys Eliminate load from servers & increase capacity Eliminate extra certific management FIPS certified solution available

6 xtra voordeel: Compression van de data Client rformance provement tomatic browser orkarounds perior targeting d control Up to 66% reduction in bandwidth Client-aware compression Compression performed in either TMM or dedicated compression hardware (specific models) Remove the burden of compression from servers Increase server capacity F5 provides the fastest compression on the market (as measured by Time to Last Byte) F5 is the only vendor to offer hardware accelerated compression

7 xtra voordeel: Fast Cache st Cache equests Cache duced Client tency Configurable Per VIP Memory Store Utilizes Excess RAM Configurable caching profile Content Serving Offload Server Connection Offload

8 Extra veilig: SSL traffic termination Fully terminate SSL traffic to inspect payload, preventing viruses, trojans, or network attacks. Gain visibility and detection of SSL-encrypted attacks SSL SSL Ensure High-scale/highperformance SSL proxy Off-load SSL to reduce server load SSL SSL

9 oorvragen Q: Is er een SIEM oplossing in gebruik? A: ArcSight R: Ook AFM nodig voor de koppeling met ArcSight Aandachtspunten: ArcSight in beheer bij andere afdeling ArcSight Server is verborgen Samenwerking tussen security beheer en netwerkoperations minimaal

10 SP s van F5 Networks Advancements in SSL Leadership Camellia Cipher Recommended by the EU and Japan irules SSL Visibility Hybrid Crypto Services Combine both hardware performance and software flexibility to scale virtual services for SSL Cipher Agility Performance SSL Offlo Per-guest Rate Limiting Allocate and manage bandwidth and SSL to achieve different performance levels for each guest Key Protectio Proactive protocol and cipher support Aggressive vulnerability mitigation Hardware and Software Running multiple algorithms together helps protect your data with a broader array of encryption options TLS 1.2 ECC GCM Camellia FIPS HSM Key Management OCSP Stapling HTTP/2 SPDY HSTS NPN/ALPN F5 helps reduce the time to remediate vulnerabilities One (or few) day resolutions to zero day vulnerabilities Immediate workarounds and then official patches Public and mailing list notifications Best practice TLS (A/A+ out-of-the-box) F5 VEs are built on the same extensible platform a Hardware Accelerated TLS FIPS HSM (Internal and network) Combine Hardware + Software with crypto offlo Per-guest Rate Limiting SSL Session and connection mirroring

11 Case 2

12 ase 2 We hebben een nieuwe Next Generation Firewall NGFW geïnstalleerd en nu meldingen, zoals NMAP van IP scanners et cetera. Wat kan of moet ik hiermee? NMAP is an open source utility used to scan map networks, and scan for open ports on workstations and servers. During the scripting stage of the network scan, NMAP will attempt to connect using HTTP, and has it's own user agent.

13 oorvragen Q: Is de NMAP gebruiker bekend? Is het intern en legaal, of een externe? A: Onbekend, maar ik denk een externe hacker Realiseer dat het internet vol zit met scanners van ondeugend tot kwaad.

14 at is NMAP et is de meest gebruikte en efficiëntste netwerk/host scanner. MAP kan (ook als basis van dure commerciële scanners) een netwerk ingerprinten, oftewel proberen uit te zoeken welke machines online zijn. oor de illegale NMAP scanners geldt: n de loop der jaren zijn er veel nieuwe functionaliteiten bijgekomen die het scan rocess fijner maken, vooral op gebied applicatie fingerprinting. MAP kan ook via een TOR netwerk werken, alsook via ANONYMOUS proxies. MAP wordt steeds verder ontwikkeld met steeds betere evasion technieken

15

16 De nieuwere versies van NMAP hebben evasion technieken, maar ook die kunnen door de BIG-IP gestopt worden. NMAP door een (NG) firewall tegenhouden is moeilijk: Firewalls kunnen in principe NMAP scans tegenhouden, maar moeten (en kunnen niet anders) applicatie requests doorlaten. Een NMAP in een applicatie request wordt altijd doorgelaten F5 is een Full Proxy en kan dus wel volledig in alle data (laten) kijken, ook als de data encrypt is. Ook heeft F5 Networks de IP Intelligence oplossing. Deze blokkeert op voorhand al alle scanners die op het internet bekend zijn met Blacklisting. Alsook andere bronnen waar scanners zitten zoals TOR netwerken en proxies.

17 E-Com 5 Reference Architecture Threat Intelligence Feed Next-Generation Firewall Corporate U Scanner Anonymous Proxies Anonymous Requests Botnet Attackers Cloud Network Application Volumetric attacks: L3-7 DDoS, floods, known signature attacks Multiple ISP strategy Network attacks: ICMP flood, UDP flood, SYN flood SSL attacks: SSL renegotiation, SSL flood Fina Ser F5 Silverline 24/7 expert support: security operations center CPE Cloud Signaling: Bad Actor IPs, Whitelist/ blacklist data DNS attacks: DNS amplification, query flood, dictionary attack, DNS poisoning Network and DNS HTTP attacks: Slowloris, slow POST, recursive POST/GET Application Subs IPS Strategic Point of Contro

18 P Reputation Services in BIG-IP now where traffic is coming from ake intelligent decisions based on a client s IP address. loud based services provide location and reputation information. Reputation IP Location Spam Reputation Windows Exploits Continent Spam Source Web Attacks Botnets Scanners Denial of Service Reputation Phishing Proxy Country State Carrier Registered Org City Post / Zip Code Lat / Long

19 5 FULL PROXY Outside Untrusted Security Digital Air Gap (Inherently more secure) HTTP SSL Inside Trusted HTTP SSL

20 oordelen De F5 Networks AFM / firewall beschermt tegen NMAP Data decrypten en door een externe IDS/IPS inspecteren is mogelijk met F5 F5 is Full Proxy en maakt daarom het netwerk DDoS bestendig IP Intelligence biedt interessante oplossing voor preventief Blacklisten!

21 You made it Thank You!

22 MOS Architecture Full Proxy Architecture LTM GTM AAM AFM APM ASM BIG-IP Local Traffic Manager BIG-IP Global Traffic Manager BIG-IP Application Acceleration Manager BIG-IP Advanced Firewall Manager BIG-IP Access Policy Manager BIG-IP Application Security Manager A Appl Vis and R Software modules plugins for all F5 products and solutions Microkernel AFM ASM APM TCP Proxy 3 rd Party Rate Shaping TCP Express SSL Web Caching XML Client Side Server Side Compression OneConnect TCP Express Serv irules DoS and DDOS Protection High Performance SSL GeoLocation Services Rate Shaping Fast Cache High Performance Compression Dynamic Routing Message-Based Traffic Management: Universal Switching Engine (USE) icontrol API isessions: F5 secure, optimized tunneling TCP Multiplexing & Optimal Connection Handling Full IPv6/IPv4 Gateway irules Programming icontrol API High Performance Hardware Management Control Plane (MCP) & High Speed Logging Full L2 Switching Universal Persistence: Transaction Integrity