Seguridad Avanzada: WafBidireccional, Jugando con SSL ... · Seguridad Avanzada: WafBidireccional, Jugando con SSL, Ataques DDoS Raul Flores Friaza ... ALTA DISPONIBILIDAD Y BALANCEO

Cisco Confidential© 2015 Cisco and/or its affiliates. All rights reserved. 1

Seguridad Avanzada:Waf Bidireccional, Jugando con SSL, Ataques DDoSRaul Flores FriazaFSE Iberia

12 de Mayo de 2016

Madrid, Spain

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

¿Quién es F5?

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3© F5 Networks, Inc 3

Gartner Magic Quadrant for Application Delivery Controllers2015

This graphic was published by

Gartner, Inc. as part of a larger

research document and should be

evaluated in the context of the

entire document. The Gartner

document is available upon

request from F5 Networks.

Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors

with the highest ratings. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact.

Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

ADC Market Share

56.6%


Application

Delivery

Network

Users Data Center/ Cloud

Líder en la entrega de aplicaciones

SAP

Microsoft

Oracle

SaaS

Cualquier dispositivo

Cualquier localización

Objetivo: Entrega de las aplicaciones en la manera

mas optima


F5 está en todas partes…47 de las

50Compañías “Fortune”

9 de lastop 10

Aerolíneas americana

s29 de las

top 30Entidades Bancarias

10 de los top 10Telcos

Americanas

9 de las top 10

Carriers WirelessAmericanas

10 delas top 10Marcas Globales

10 de lastop 10

Compañías globales de automoción

9 de las top10 compañías globales de

Gas y Petróleo

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=HNLKRbhu682ENM&tbnid=CpVBiwBrnSzXWM:&ved=0CAUQjRw&url=https://www.naturallyslim.com/Clients_Testimonials.html&ei=d2fvUY7yDcKqiQKXt4CgBQ&bvm=bv.49641647,d.cGE&psig=AFQjCNHz3UTR4kz7UT5awF99mbkFoLXZYA&ust=1374730482654349

https://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=HNLKRbhu682ENM&tbnid=CpVBiwBrnSzXWM:&ved=0CAUQjRw&url=https://www.naturallyslim.com/Clients_Testimonials.html&ei=d2fvUY7yDcKqiQKXt4CgBQ&bvm=bv.49641647,d.cGE&psig=AFQjCNHz3UTR4kz7UT5awF99mbkFoLXZYA&ust=1374730482654349

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=5EIoau_vZHhGvM&tbnid=7cru2d3nVESLsM:&ved=0CAgQjRwwAA&url=http://www.ruralelec.org/members_by_name.0.html&ei=plPoUc3CJOmsiAKs64HQBg&psig=AFQjCNE2Oq5t5jIn2RSZ9GdJthAiom9OIA&ust=1374266662643662

http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=5EIoau_vZHhGvM&tbnid=7cru2d3nVESLsM:&ved=0CAgQjRwwAA&url=http://www.ruralelec.org/members_by_name.0.html&ei=plPoUc3CJOmsiAKs64HQBg&psig=AFQjCNE2Oq5t5jIn2RSZ9GdJthAiom9OIA&ust=1374266662643662

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=cP8dLBSEyRixTM&tbnid=sdufoCj6fjJ5sM:&ved=0CAUQjRw&url=http://www.iocl.com/AboutUs/CorporateLogos.aspx&ei=emRlUufeEMmdiAKbhoDwDg&bvm=bv.54934254,d.cGE&psig=AFQjCNF8ju-8TgDqcao0w5kRQqbbKmq8mw&ust=1382462968190004

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&docid=cP8dLBSEyRixTM&tbnid=sdufoCj6fjJ5sM:&ved=0CAUQjRw&url=http://www.iocl.com/AboutUs/CorporateLogos.aspx&ei=emRlUufeEMmdiAKbhoDwDg&bvm=bv.54934254,d.cGE&psig=AFQjCNF8ju-8TgDqcao0w5kRQqbbKmq8mw&ust=1382462968190004


PLATAFORMA HARDWARE O SOFTWARE

SISTEMA OPERATIVO

TMOSAltas prestaciones SSLGeolocalizaciónReputación IP *Routing Dinámico *Rate Shaping

MultiplexacionconexionesRAM CacheUniversal InspectionEngineScale n+1IPV6 Gateway

Log de alta velocidadProgramación de iRulesMultitenancyProtección de DoSCompresión por

LTMBalanceo LocalAlta disponibilidadMonitorizaciónGestión de conexionesSSL offload

DNSBalanceo de sitesSeguridad DNSAlto rendimiento DNSGestión total del DNS

WAMCache en DiscoMulticonnectCambio de ReferHostReescritura URL

WOMCache diccionarioCompresión simetricaSeguridad SSL

ASMBrute Force LoginDoS level 7Web ScrapingIntegracion Scanners

APMAutenticacionVPN SSLBYODApp Tunnel

AFMFirewall de RedProtección DoSDatacenterFirewall

iControl iApp iRules

Enterprise Manager BIG-iQ

ALTA DISPONIBILIDAD Y

BALANCEO DE CARGAACELERACION SEGURIDAD

Equipo de Soporte / Comunidad de usuarios / Presencia Mundial

AAM


4000 series 10000 Series5000 Series 7000 Series

Good, Better, Best Platforms

11000 Series

Dimensionando la Plataforma

5Gbps3Gbps1Gbps200M25M VIPRION 2400

VIPRION 4480 VIPRION 4800

Appliance ChasisVirtual

2000 series*

New 10Gbps

*Note: 2000 Series appliances is not offered with Better or Best bundles

New VIPRION 2200


Jugando con el SSL

SSL everywhere!

HOY2017

50%

TRÁFICO CIFRADO EN ENTORNO ENTERPRISE

75%

Crecimiento anual30%

Los protocolos de nueva generación requieren SSL

• HTTP/2

• SPDY

• TLS 1.3

Drivers del cambio

• Amenazas internas• Regulación y cumplimiento• Evolución de la criptografía• Todo está conectado


• Set the option for Secure Renegotiation to “Require”

• Disable SSLv2 and SSLv3 (default in 11.5+)

• Use an explicit, strong cipher string, such as:NATIVE:!SSLv3:!TLSv1:!EXPORT:!DH:!MD5:!RC4:RSA+AES:RSA+3DES:ECDHE+AES:ECDHE+3DES:ECDHE+RSA:@STRENGTH

• Prefer Perfect Forward Secrecy (PFS)Done via prioritizing Ephemeral (DHE, ECDHE) ciphers in the string above

• Enable HTTP Strict Transport Security (HSTS)iRule in pre-Badger versions of TMOSIntegrated into HTTP profile in Badger

Achieving A+ Grades on SSLLabs.com


56%

56% de los dispositivos indexados usan versiones de

OpenSSL de más de 50 meses de antigüedad

Cisco annual security report 2015

HeartBleed + POODLE =

281


Pérdida de rendimiento por SSL según fabricante

Visibilidadis reduced due to the growth of SSL usage

Malwareuses encrypted channels

to evade detectionfor decryption is a

significant undertaking

Descifrar SSL en un cortafuegos, o IPS puede reducir el rendimiento del appliance en torno a

un 70%

Rendimiento

Source: NSS Labs and vendor data


Sector:

Problemática:

AlternativasSolución con F5:

© F5 Networks, Inc

Con F5 podemos abrir las comunicaciones cifradas mediante la técnica de Man-in-the-middle, entregando el tráfico en claro a los servidores web o a los elementos de red que se requieran para realizar análisis (Firewalls, IDS/IPS, Antivirus, URL Filtering, DPI´s…)

De esta forma proporcionamos la visibilidad necesaria y consecuentemente reducimos el dimensionado de los equipos receptores de éste tráfico (FireEye, PAN, CheckPoint, SourceFire) permitiendo además su escalabilidad horizontal.

A diferencia de otras soluciones del mercado basadas en CPU, F5 utiliza aceleración hardware para el procesamiento de tráfico SSL (SSL Offloading), lo cual le confiere un gran rendimiento con un coste contenido.

SSL/TLS es un protocolo de cifrado que securiza las conexiones en internet utilizando certificados de clave pública para verificar la identidad de los extremos y garantizar la confidencialidad. Uno de los usos más importantes es junto a HTTP para formar HTTPS, que es utilizado para asegurar páginas web en aplicaciones de comercio electrónico –por ejemplo- pero también es utilizado por atacantes para evadir los dispositivos de seguridad de red.

Asumir la tarea de cifrar/descifrar el tráfico HTTPS impacta considerablemente en el rendimiento de los elementos de red que requieren inspeccionar ese tráfico (Firewalls, IDS/IPS, Antivirus, URL Filtering, DPI´s…). De media, el rendimiento de un NGFW cae un 81% cuando tiene que inspeccionar tráfico cifrado. Por tanto tenemos dos problemas: uno de visibilidad y otro de eficiencia de recursos.

• Arquitectura tradicional de servicios en línea, poco óptima y normalmente basadas en soluciones con alto consumo de CPU (por tanto muy costosas)

14

Solución de Visibilidad TLS/SSLTodos

LTM


Internet Firewall de Red

Firewallde Red

RON

DMZ

AV

Terminación e Inspección SSL+ Cipher Agility + SSL Transformation

+ Intelligent Traffic Management + SSL Re-Encryption

BIG-IP

NGFW DLP

LTM

IPS

Solución de Visibilidad TLS/SSL


Sector:

Problemática:


© F5 Networks, Inc

• La plataforma F5 dispone de hardware específico para la aceleración del cifrado y descifrado mediante TLS/SSL, liberando a los servidores de la carga de procesamiento generada por el uso de TLS/SSL.

• TLS/SSL Offloading permite a las organizaciones migrar el 100% de sus comunicaciones a TLS/SSL para incrementar la seguridad, sin impacto para los servidores frontales o de aplicación, y proporciona un repositorio común donde consolidar los certificados, centralizando la gestión de los mismos.

• En entornos donde se requiere el cifrado extremo-a-extremo, es posible utilizar claves de menor tamaño (1024-bits, por ejemplo) de cara a los servidores de aplicación, y utilizar claves de mayor tamaño (2048-bits) de cara a los usuarios de Internet.

• F5 dispone de modelos que cumplen el estándar FIPS, y puede integrarse con soluciones HSM de terceras partes.

El uso de HTTPS (HTTP sobre TLS/SSL) en las comunicaciones a través de Internet crece día a día. Servicios de contenido OTT (Over-The-Top), redes sociales, buscadores web, servicios Peer-To-Peer, etc… La lista es casi interminable. Publicar servicios Web sin cifrar en Internet es ya una práctica inusual, además de insegura. La llegada de HTTP/2 (donde el cifrado es ”opcional”) ha vuelto a sacar el tema a discusión; paradójicamente, en la actualidad no existen implementaciones de navegadores con soporte de HTTP/2 sin encriptación. El uso de TLS/SSL para cifrar y descifrar las comunicaciones, aunque seguro, es muy costoso en términos de consumo de CPU, y pone en riesgo el rendimiento de los propios servidores Web. La migración de claves de 1024-bits de longitud por nuevas claves de 2048-bits (según la recomendación del NIST en 2011) ha multiplicado por cinco (x5) la necesidad de cómputo en los servidores Web para gestionar el mismo número de sesiones TLS/SSL, reduciendo hasta en un 80% el número de conexiones por segundo que esos mismos servidores pueden gestionar. Este modelo no escala.

El incremento del número de servidores frontales o de aplicación para hacer frente al incremento de cómputo necesario para procesar el tráfico TLS/SSL es una alternativa costosa, tanto en términos económicos como operativos.

Además, la gestión independiente de los certificados en cada uno de los servidores no es eficiente, y aumenta el riesgo de errores en casos en los que es necesario gestionar hasta decenas de certificados por cada servidor.

Las soluciones de “aceleración” basadas en hardware de propósito general liberan a los servidores de la carga computacional, pero están limitados por los mismos factores, y no escalan de forma adecuada.16

Solución de Offloading TLS/SSLTodos

LTM


Usuarios

Internet ServidoresWeb/Aplicación

TLS/SSL OffloadingGestión centralizada de Certificados

HSM

BIG-IP

Solución de Offloading TLS/SSL

Integración con HSM externo

(opcional)

Tráfico HTTPS Tráfico HTTP

TLS/SSL OFFLOAD


Firewall Bidireccional


- Dirección InBound: Protección de la aplicación. WAF mas implementado a nivel mundial

Browser

Política de

seguridad

Control Content ScrubbingApplication Cloaking

OWASP, firmas, RFC, Bots, Ddos,

Websocket

Browser

Política de

AntiFraude

Injección JavaScript Ofuscado

Alertas Antifraude:Detección Malware,

Web Injection, Encriptación

Aplicativa, Phising…

- Dirección OutBound: Protección de los usuarios. Única tecnología capaz de detectar malware DYRE


Patrones mas comunes

70% de las amenazas utilizan ataquescombinados

Hacking actions within Web App Attacks pattern

40%

USE OF BACK

DOOR/C2 USE OF STOLEN

CREDENTIALS

50.7%

SQL INJECTION

19%USE OF RFI

OR APP MISUSE 19%

BRUTE FORCE

6.8%

USE OF XSS

6.3%

Verizon 2015 DBIR

• Proteccion OWASP. Mas de 2000 Firmas• Firewall para Websocket, XML, Json..• Cumplimiento Normativa PCI• Deteccion y Mitigacion DDoS• Deteccion y Mitigacion de Bots/Scripts• Intergracion con DAST. • ICAP

http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info/


El navegador es el punto mas debily contiene mucha informacion valiosa para los hacker: Credenciales

El navegador del usuario

HTTP/HTTPS

Seguridad en el

Data center

Web Fraud Detection

WAF

HIPS

Traffic Management

IPS

DLP

Network firewall

SIEM

Encritacion

Aplicativa• HFO• Keyloggers

Deteccion de

Phissig• A 3 Niveles: Copia,

Publicacion, Victima

Deteccion de

malware:/WebInjection• Dyre, Zeus, Citadel…• Analisis de comportamiento• Modificacion de contenido

por los malware• RAT’s


• Reconocido como lider del mercado en WAF por Gartner y nombrado como Best Web Application Firewall por SC Magazine en 2015 y 2016

• 1st WAF con Visibilidad del trafico WebSocket

• Único WAF en Appliance, VE y Servicio Gestionado

Líder del Mercado

El WAF mas desplegado

mundialmente

Recomendado por NSS Labs

BIG-IP ASM

#1 (451 Research)


Sector:

Problemática:


© F5 Networks, Inc

• La combinación de los módulos de F5 ASM y WebSafe permite proteger tanto a las aplicaciones de la empresa como a los usuarios de estas sin necesidad de instalar ningún agente, ni en las aplicaciones, ni en los dispositivos de acceso, bien sean fijos o móviles.

• La solución se despliega en un único equipo, y por tanto la gestión está unificada en una única consola de administración.

Si bien una solución WAF protege nuestras aplicaciones del uso malintencionado de posibles atacantes frente a DDoS o los ataques de OWASP, no puede proteger a los usuarios de nuestras aplicaciones frente a ataques de Phising, RATs, Man-in-the-Browser, Keyloggers…

Esta protección es especialmente compleja, ya que no tenemos acceso a los equipos de nuestros clientes (fijos y/o móviles) ni podemos instalar ningún agente en estos dispositivos, que además cuentan con una infinidad de sistemas operativos y navegadores diferentes.

Este tipo de fraude daña enormemente la reputación de las organizaciones y puede suponer importantes perdidas económicas con implicaciones legales

• Soluciones de otras fabricantes requieren de la instalación de agentes en el servidor o en la maquina cliente, lo cual no es viable en la mayoría de las ocasiones, por la interacción entre el agente y el propio software de las aplicaciones (en el caso de los servidores) o por ser dispositivos ajenos a nuestra organización (en el caso de los clientes).

• Confiar sólo en el módulo WAF no protege a los usuarios de nuestras aplicaciones.

Solución Enhanced – Web Application Firewall (e-WAF)

Todos

ASM + Websafe


Strategic Point of Control

Web FraudProtection

Online CustomersA

B

C

Online Customers

Online Customers

F5 SecurityOperations Center

A

B

C

Customer Scenarios

Malware Detection and Protection

Anti-Phishing

Transaction Analysis

Account

Amount

Transfer Funds

NetworkFirewall

Copied Pagesand Phishing

Man-in-the-Browser Attacks

Application

AutomatedTransactions

andTransaction

integrity

F5 local alert server (optional)


Sector:

Problemática:


© F5 Networks, Inc

Uno de los mecanismo más efectivos y económicos para reducir el spam es bloqueando el tráfico de cierto correo con mecanismos de Listas de Reputación en tiempo real.

La solución F5 IP Intelligence añade una capa de seguridad, con una visión actualizada sobre las direcciones IPs entrantes, así como las direcciones de salida. Las empresas pueden proteger sus activos del DC identificando en tiempo real si las direcciones IP son maliciosas o de dudosa reputación y configurar las políticas del BIG-IP para bloquear el acceso de estas. El resultado es una reducción de carga en el backend, incluyendo los firewalls y servidores.

El IP Intelligence se puede implementar en cualquier Big-IP o bien integrarlo con el ASM (WAF de F5) para poder ver en detalle la actividad de las direcciones IP sospechosas.

Los servidores de aplicaciones de las empresas se enfrentan cada día a ataques tanto de botnets, como de scanners y phising. Al mismo tiempo, las redes deben evitar las conexiones de salida a servidores C&C o a sites con malware. Detectar y bloquear estas amenazas cada vez es más difícil, dada la necesidad de mantener la alta disponibilidad de las aplicaciones.

Las aplicaciones y los sitios web deben estar disponibles para usuarios legítimos, pero al mismo tiempo, las empresas tienen que ser capaces de evitar el acceso ilegítimo y malicioso. Los endpoints infectados intentan conectarse a las redes de la empresa y esto provoca una pérdida de los recursos de la red. Los usuarios pueden por tanto conectarse a sites con malware. Las empresas necesitas prevenir la infección de los endpointsteniendo en cuenta que las amenazas son persistentes y cada vez más avanzadas.

• Los NGFW no son capaces de escalar en el caso de que se produzca un ataque de DDoS y tampoco son capaces de filtrar los vectores de DDoS IP.

Seguridad en base a listas de reputaciónTodos

IP Intelligence


Seguridad en base a listas de reputación

Geolocation database

Intelligent Services

Advanced Threat Intelligence

Data Center

?

Scanners


Escenarios de DDoS


0

50000

100000

150000

200000

250000

300000

350000

Evolucion Ataques DDos:De ataques de 1Gbps a 300Gbps

Es facil contratar un ataque DDoS. Por 100€, 100 gbps durante unahora

FEB 14 325 Gbps

JAN 14 150 Gbps

DEC 13100 Gbps


F5 Offers Comprehensive DDoS Protection

LegitimateUsers

DDoS Attackers

Scanner Anonymous Proxies

Anonymous Requests

Botnet Attackers

Threat Intelligence Feed

CloudNetwork Application

Volumetric and App attacks: L3-7 DDoS, floods, Slowloris

SQL Inj., XSS, CSRFsignature attacks

Multiple ISP strategy

Network attacks:ICMP flood,UDP flood,SYN flood

DNS attacks:DNS amplification,

query flood,dictionary attack,DNS poisoning

IPS

BIG-IP Platform

BIG-IP Platform

HTTP attacks:Slowloris,

slow POST,recursive POST/GET

Next-GenerationFirewall Corporate Users

SSL attacks:SSL renegotiation,

SSL floodFinancialServices

E-Commerce

Subscriber

CPE Cloud Signaling:Bad Actor IPs,

Whitelist/blacklist data

24/7 expert support:security operations center

F5 SilverlineCloud-based

Platform


Sector:

Problemática:


© F5 Networks, Inc

Los módulos AFM y ASM de F5 permiten tener visibilidad de ataques DDoS desde L3 hasta L7 en todo el agregado de líneas de Internet del cliente, por lo que podremos desplegar una estrategia de contratación servicios de protección frente a ataques volumétricos DDoS con un solo ISP.

Una vez detectado un ataque a través de cualquiera de los ISPs, la plataforma F5 mitigará el ataque L3-L7 hasta la capacidad de la línea de cada uno de los proveedores, minimizando el uso de bonos de defensa.

En el caso de tratarse de un ataque volumétrico, la plataforma F5 podrá notificarlo mediante “Cloud Signaling” al ISP con el que se tiene contratada la protección Cloud de DDoS, dejando de anunciar los prefijos de los servicios al resto de ISPs con las que no se tiene contratada la protección, asegurando así la disponibilidad del servicio.

Esta solución contempla también el escenario de ataques sobre trafico cifrado.

Los clientes con más de un proveedor de salida a Internet (ISP) se enfrentan al dilema de con quién contratar el servicio de protección contra ataques volumétricos DDoS.

Contratar el servicio de protección con todos los proveedores no parece una solución económicamente viable. Por otra parte, contratar el servicio con un solo un proveedor exige la inspección on-premise (en las instalaciones del cliente) del agregado de tráfico procedente de todos los proveedores.

• Contratar un servicio de protección DDoS con todos los proveedores no es rentable económicamente, ni mejora la calidad del servicio

• Colocar la extensión CPE para la detección de ataques de cada ISP encarecería enormemente el coste y la complejidad de la solución

30

Detección de ataques DDoS en escenarios multihoming

Todos

AFM+ASM


Customers

DDoS Attack

Partners

DDoS AttackISP provides

volumetric DDoSservice

CloudScrubbing

Service

ISPa

ISPb BIG-IP Platform

Data Center

Cloud Signal for Volumetric attacks

Detección de ataques DDoS en escenarios multihoming

Network Firewall Services + Web App Firewall

Thank you.

Documents

Seguridad Avanzada: WafBidireccional, Jugando con SSL ... · Seguridad Avanzada: WafBidireccional, Jugando con SSL, Ataques DDoS Raul Flores Friaza ... ALTA DISPONIBILIDAD Y BALANCEO