Концепция целостной информационной безопасности F5 Networks

Концепция целостной информационной безопасности F5 Networks

Борис Гехтман, [email protected]

mailto:[email protected]

© F5 Networks, Inc 2

Влияние DDoS на бизнес

Затраты на

защитные

мероприятия

Ущерб

репутации

Влияние DDoS

на бизнес


• DDoS сегодня используется как дымовая завеса для проведения целевых вторжений.

Современные атаки работаю с сразу на всех уровнях

Application

SSL

DNS

Network

DDoS атака скрыла кибер-ограбление на $900,000

Feb 13, 2013


Рынок решений защиты от DDoS

Оборудование в ЦОДе

заказчикаОблачные сервисыОператоры и CDN

F5 Networks, Arbor

Networks, Radware,

Narus, GenieNRM,

Andrisoft, RioRey

SMB: Neustar, BlackLotus, Corero,

Imperva

Enterprise: Prolexic, Verisign, F5 Silverline

DDoS Protection

Enterprise Secondary:F5 Silverline DDoS

Protection

AT&T

Verizon

Akamai

CloudFlare


Какую DDoS технологию использовать?

ОБЛАЧНЫЙ СЕРВИС

• «Удаленное» решение, атаки не достигают ЦОДа

• Операционные затраты разделены между сотнями заказчиком

• DNS anycast и множество ЦОДовсоздают дополнительный уровень защиты

ПРЕИМУЩЕСТВА

ЛОКАЛЬНАЯ ЗАЩИТА

• Полный контроль инфраструктуры

• Быстрая защита, понятная система отчетности

• Решения для защиты проектируются независимо одно от другого


• Заказчики вынуждены платить вне зависимости атакуют их или нет

• Строгий SLA

• Решения сфокусированы на определенном уровне защиты

НЕДОСТАТКИ

• Множество точечных решений на рынке, всего лишь несколько полных

• Защиты от атак не превышающих размер канала

• Не приносит пользы. Очевидная польза только в момент атаки (F5 -исключение)

НЕДОСТАТКИ

ГИБРИДНАЯ МОДЕЛЬ ЗАЩИТЫ

• Комбинированная модель обычной и локальной защиты для отражения всех атак

• Операционные затраты разделены между сотнями заказчиков

• DNS anycast и множество ЦОДовсоздают дополнительный уровень защиты

• Быстрая защита, понятная система отчетности

• Контроль локальной инфраструктуры

• Решения для защиты проектируются независимо одно от другого



F5 обеспечивает максимально полную защиту

Scanner Anonymous Proxies

Anonymous Requests

Botnet Attackers

Threat Intelligence Feed

Cloud Network Application

LegitimateUsers

DDoS Attackers

CloudScrubbing

Service

Volumetric attacks and floods, operations

center experts, L3-7 known signature attacks

ISPa/b

Multiple ISP strategy

Network attacks:ICMP flood,UDP flood,SYN flood

DNS attacks:DNS amplification,

query flood,dictionary attack,DNS poisoning

IPS

Networkand DNS

ApplicationHTTP attacks:

Slowloris,slow POST,

recursive POST/GET

Next-GenerationFirewall Corporate Users

SSL attacks:SSL renegotiation,

SSL floodFinancialServices

E-Commerce

Subscriber

Strategic Point of Control


Архитектуры центра очистки от DDoS

Tier 1

LegitimateUsers

DDoS Attackers

CloudScrubbing

Service




InspectionToolsets

Scrubbing Center

Inspection Plane

Traffic ActionerRoute Management

Flow Collection

Portal

Switching Routing/ACL

SwitchingProxy and Asymmetric

Mitigation Tier

Routing(Customer VRF)

GRE Tunnel

Proxy

IP Reflection

X-Connect Customer

Data Plane

Netflow Netflow

Copied trafficfor inspection

BGP signaling

Signaling

Visibility

Management

Глобальное покрытие

Глобальное покрытие

Полностью резервированные

и глобально распределенный

ЦОДы в каждом гео-регионе– San Jose, CA US

– Ashburn, VA US

– Frankfurt, DE

– Singapore, SG

Максимальная в индустрии

пропускная полоса

• Пропускная способность

для отражения атак более

2 Tbps

• Очистка трафика более 1

Tbps

• Гарантированная

пропускная способность от

Поддержка 24/7

F5 Security Operations Center

(SOC) доступен 24/7 .

Эксперты по DDoS готовы

помочь в течении считанных

минут


F5 Silverline защита от DDoS

Always Available Ready DefenseAlways On

Основная защита доступная

по запросу

The Always Available

subscription runs on stand-

by and can be initiated

when under attack.

Запасной вариант защиты доступный при необходимости

The Ready Defense service runs on stand-by and can be initiated when under

attack as a secondary line of defense in addition to

a primary DDoSmitigation solution.

Первая линия защиты

The Always On subscription

stops bad traffic from ever

reaching your network by

continuously processing all

traffic through the cloud-

scrubbing service and

returning only legitimate

traffic to your network.


Как направить трафик в центр очистки?

Как получить трафик обратно?

AMAZON (AWS) DIRECT CONNECT

IP REFLECTION ™

GRE TUNNELS

PROXY

FIBER INTERCONNECT

BGP (BORDER GATEWAY PROTOCOL) ANYCAST

DNS / ANYCAST


Прозрачность и отчетность до, после и во время атаки

Быстрый доступ к деталям об атаках• Тип и размер атак

• IP origin

• Векторы атак

• Процесс защиты

• Взаимодействие с SOC

• Захват пакетов (pcap) доступ для

скачивания

Безопасное конфигурирование и управление услугами SOC, конфигурирование прокси и

маршрутизации, отчетность в режиме реального времени


Операторская

полоса и ваша

полоса

Thread jam

Перегрузка RAM

Перегрузка

процессора, RAM,

базы данных, атаки

на чрезмерное

логирование, флуд

соединений

Таблица сессий,

слишком много

соединений

Таблица сессий.

TCP Flood.

Негативное

кеширование

Обход прокси

Таблица сессий, IP

адреса,

Low & slow

Layer 7 –

Случайные

Layer 7 – Целевые

Таблица сессий,

производительность

фильтрации

ACL Perf.

1 Гбит/c =

1.488.096 CPS

Firewall DDoS Защита Ускорение

приложений

Балансировщик Веб серверы База данных

DDoS направлены на истощение ресурсов


Full-proxy архитектура

iRule

iRule

iRule

TCP

SSL

HTTP

TCP

SSL

HTTP

iRule

iRule

iRule

ICMP floodSYN flood

SSL renegotiation

DataleakageSlowloris attackXSS

NetworkFirewall

WAF WAF


Облачный центр очистки трафик в комбинации с локальной защитой


Anonymous Requests

Botnet Attackers



LegitimateUsers

DDoS Attackers

CloudScrubbing

Service



ISPa/b





IPS

Networkand DNS



recursive POST/GET




E-Commerce

Subscriber





Anonymous Requests

Botnet Attackers



LegitimateUsers

CloudScrubbing

Service



ISPa/b





IPS

Networkand DNS



recursive POST/GET




E-Commerce

Subscriber


DDoS Attackers

• Защиты от емкостных атак в режиме реального времени

• Многоуровневая защита L3-L7

• 24x7 SOC

• Прозрачная отчетность

КЛЮЧЕВЫЕ МОМЕНТЫ




Anonymous Requests

Botnet Attackers



LegitimateUsers

DDoS Attackers

CloudScrubbing

Service



ISPa/b





IPS

Networkand DNS



recursive POST/GET




E-Commerce

Subscriber


• Контроль сетевого периметра L3-4

• Распределение нагрузки

• Репутационная база IP адресов

• Смягчает атаки небольшого объема





Anonymous Requests

Botnet Attackers


Cloud Network

LegitimateUsers

DDoS Attackers

CloudScrubbing

Service



ISPa/b





IPS

Networkand DNS


FinancialServices

E-Commerce

Subscriber


Application



recursive POST/GET


SSL flood


• Глубокое понимание особенностей приложения

• Терминирование SSL

• Web application firewall

• Защиты от ассиметричных и SSL-атак


Анализатор или прокси?

или

Атака

Bridge Full proxy


Network DDoS, protocol timeout and SYN cookie


Network, DDoS Detection & MitigationBIG-IP AFM

DOS

Vectors

When to report an attack Relative Percent Increase in PPS

Detection Threshold

When to mitigate an attack Absolute Number in PPS

Mitigation Threshold

When to report an attack Absolute Number in PPS

Detection Threshold

DOS Categories


IP intelligence

service

IP address feed

updates every 5 min

Geolocation database

Botnet

Anonymous

requests

Anonymous

proxies

Scanner

Restricted

region or

country

Attacker

Custom

application

Financial

application

Internally infected devices and

servers

IP intelligence и гео-локация

Атаки UDP Amplification

DMZClients

LDNS Internet DNS Firewall inBIG-IP GTM

Data Center

DNS Servers

Apps

Considerations

• DNS или NTP могут использоваться для создания атак

• IP-spoofing легко создать, поэтому ACL не помогают

Борьба

• Высокопроизводительный DNS сервер

• Блокировка NXDOMAIN сообщений


• DNS службы находятся за периметром безопасности.

• DNS может обсуживаться из DMZ для сохранения независимости от приложений для которых он работает

• В случает отключения ЦОД, DNS все еще может быть доступен и перенаправлять запросы на резервную площадку.

• GSLB может использовать для оптимизации потоков данных (GeoIP)

• DNS DDoS функция в BIG-IP AFM

• Определяет DNS floods по типам записей

DNS DDoS


SSL !

SSL

SSL

SSL

Сессионный уровень, SSL инспекция и DDoS

• Понимание и детектирование атак на SSL

• SSL Offload снижения нагрузки

• Управление SSL сертификатами и ключами в едином месте

Полное терминация SSL траффика для анализа вложений защищает от вирусов и другого вредоносного ПО


HeartbleedConnecting...Sending Client Hello...Waiting for Server Hello...... received message: type = 22, ver = 0302, length = 58... received message: type = 22, ver = 0302, length = 1049... received message: type = 22, ver = 0302, length = 525... received message: type = 22, ver = 0302, length = 4Sending heartbeat request...... received message: type = 24, ver = 0302, length = 16384Received heartbeat response:

0380: 0A 20 20 20 20 3C 69 74 65 6D 3E 72 6F 6F 74 3C . <item>root<0390: 2F 69 74 65 6D 3E 0A 20 20 20 20 3C 69 74 65 6D /item>. <item03a0: 3E 61 64 6D 69 6E 3C 2F 69 74 65 6D 3E 0A 20 20 >admin</item>. 03b0: 20 20 3C 69 74 65 6D 3E 68 65 61 72 74 62 6C 65 <item>heartble03c0: 65 64 5F 75 73 65 72 3C 2F 69 74 65 6D 3E 0A 20 ed_user</item>. 03d0: 20 20 3C 2F 75 73 65 72 5F 6E 61 6D 65 73 3E 0A </user_names>.03e0: 20 20 3C 2F 6E 73 31 3A 67 65 74 5F 65 6E 63 72 </ns1:get_encr03f0: 79 70 74 65 64 5F 70 61 73 73 77 6F 72 64 3E 0A ypted_password>.0400: 20 3C 2F 73 6F 61 70 65 6E 76 3A 42 6F 64 79 3E </soapenv:Body>0410: 0A 3C 2F 73 6F 61 70 65 6E 76 3A 45 6E 76 65 6C .</soapenv:Envel

WARNING: server returned more data than it should - server is vulnerable!


Heartbleed


• Браузер взаимодействует с веб-приложением

• Посылает HTTP запросы

• Получает HTML станицы

• На любом уровне веб приложения данными могут манипулировать, красть или удалять.

• Без целевой защиты, дыры и уязвимости появляются каждый день

DDoS, Веб-приложенияDATA

DATABASE SERVER

BACKEND SERVER

APPLICATION SERVER

CGI SCRIPT

WEB SERVER

HTTP REQUEST

HTTP RESPONSE


HTTP Pipelining

GET /download/doc.pdf?121234234fgsefasdfl11 HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf? qXs5udkLDd7DNG9ub HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf?DLGgun1nEmfm5eid76 HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf? 6ndfTygZPImXsNW22a HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\n

Случайные значения параметров

Позволяют обойти сигнатуры и кэши

http://www.xxxxyyyyzzzz.com/r/n





Ассиметричные атаки, еще пара слов о DDoS

ЗащитаАтака


Ассиметричные атаки, еще пара слов о DDoS

ЗащитаАтака


Top 10 – 2010 (Previous) Top 10 – 2013 (New)

A1 – Injection A1 – Injection

A2 – Cross-Site Scripting (XSS) A2 – Broken Auth & Session Management

A3 – Broken Auth & Session Management A3 – Cross-Site Scripting (XSS)

A4 – Insecure Direct Object References A4 – Insecure Direct Object References

A6 – Security Misconfiguration A5 – Security Misconfiguration

A7 – Insecure Cryptographic Storage Merged w/ A9 A6 – Sensitive Data Exposure

A8 – Failure to Restrict URL Access – Broadened A7 – Missing Function Level Access Control

A5 – Cross-Site Request Forgery (CSRF) A8 – Cross-Site Request Forgery (CSRF)

<buried in A6: Security Misconfiguration> A9 – Using Known Vulnerable Components

A10 – Unvalidated Redirects and Forwards A10 – Unvalidated Redirects and Forwards

A9 – Insufficient Transport Layer Protection Merged with 2010-A7 into new 2013-A6

Новая редакция Top 10


Иллюстрация SQL вставки

Firew

all

Hardened OS

Web Server

App Server

Firew

all

Data

bases

Legacy

Sys

tem

s

Web S

erv

ices

Directo

ries

Hum

an R

esrc

s

Bill

ing

Custom Code

APPLICATION ATTACK

Netw

ork

Layer

Applic

ation L

ayer

Accounts

Fin

ance

Adm

inis

tra

tion

Tra

nsactions

Com

munic

ation

Know

ledge M

gm

t

E-C

om

merc

e

Bus. F

unctions

HTTP

request

SQL

query

DB Table

HTTP

response

"SELECT * FROM

accounts WHERE acct=‘’

OR 1=1--’"

1. Приложение имеет легитимную форму

ввода

2. Хакер вставляет в него код атаки

3. Приложение передает атаку в базу

данных через SQL запрос

Account Summary

Acct:5424-6066-2134-4334

Acct:4128-7574-3921-0192

Acct:5424-9383-2039-4029

Acct:4128-0004-1234-0293

4. База данных выполняет запрос и

отправляет результат обратно на сервер

5. Сервер обрабатывает данные как

нормальные и передает результат

пользователю.

Account:

SKU:

Account:

SKU:



На что нужно обратить внимание

при выборе подобной системы?


Автоматическое создание политики

• Автоматическое построение и управление политиками

• Анализ входящих и исходящий потоков данных

• Статистический и эвристический движок

• Обновления сайта


Скрытие ресурсов


Высокая производительность

• Целевое производительное аппаратное обеспечение

• Виртуалкам тут не место

• SSL off-load, истощение CPU


RFC Enforcement

• У нас нет гарантий, что все компоненты следуют RFC

• Нельзя доверять никому

• Защита в соответствии с RFC


Сигнатурный анализ

• Все еще является эффективным методом

• Защита от известных уязвимостей


Encrypted Cookie

• Не доверяйте пользователю

• Еще одна форма манипуляции параметрами

• Зашифрованная кука – защищенная работа WAF


Анализ параметров

• Не доверяйте пользователю

• WAF знает лучше


А что насчет защиты пользователей?


Браузер самое слабое звеноEnd point risks to “Data In Use”

Customer browser

HTTP/HTTPS

Secured

Data center

Web Fraud Detection

WAF

HIPS

Traffic Management

NIPS

DLP

Network firewall

SIEM

Leveraging

Browser

application

behavior• Caching content,

disk cookies, history

• Add-ons, Plug-ins

Manipulating

user actions:• Social engineering

• Weak browser

settings

• Malicious data theft

• Inadvertent data

loss

Embedding

malware:• Keyloggers

• Framegrabbers

• Data miners

• MITB / MITM

• Phishers / Pharmers


Anti-fraud, Anti phishing, Anti- malware services

Clientless solution, enabling 100%

coverage

Защита

пользователей

Desktop, tablets & mobile devices

На всех

устройствах

No software or user involvement required

Полная

прозрачность

Targeted malware, MITB, zero-days, MITM, phishing

automated transactions…

Предотвратить

Fraud

Alerts and customizable rules

В реальном

времени


Определение и защита от malware

3

OnlineCustomers

Web Fraud Protection

+ Honeypots for Generic Malware+ App-Level Encryption

+ Advanced Phishing Detection+ Real-Time Transaction

MonitoringLTM WEBSAFE

BIG-IP

Platform

BIG-IP Local Traffic Manager

BETTER BEST

Simplified Business Models

+ WebSafe

GOOD

2

1

SecurityOperations Center

NetworkFirewall

ApplicationMan-in-the-Browser Attacks

1. Malware detection

component assesses user

device ID, checks SSL

2. Validity, and ensures HTTPS

connection is secure

3. Any anomalies trigger an

alert. Encryption component

renders any stolen data

worthless to an attacker

HOW IT WORKS


• Alerts of extensive site copying or scanning

• Alerts on uploads to a hosting server or company

• Alerts upon login and testing of phishing site

• Shuts down identified phishing server sites during testing

Определение и предотвращение фишингаIdentifies phishing threats early-on and stops attacks before emails are sent

Internet

Web Application

2. Save copy to computer

3. Upload copy to spoofed site

4. Test spoofed site

1. Copy website

Alerts at each stage of

phishing site development


Предотвращение автоматических транзакций

Account

Amount

Transfer Funds

OnlineCustomers

2

Web Fraud Protection

+ Honeypots for Generic Malware+ App-Level Encryption

+ Advanced Phishing Detection+ Real-Time Transaction

MonitoringLTM WEBSAFE

BIG-IP

Platform

BIG-IP Local Traffic Manager

BETTER BEST

Simplified Business Models

+ WebSafe

GOOD

2

1

SecurityOperations Center

NetworkFirewall

Application

1. F5 adds hidden JavaScript

code to web page served to

online customer

2. F5 actively monitors user

behavior interacting with the

web page

3. If anomalous behavior is

detected, an alert is triggered

HOW IT WORKS


• 24x7x365 fraud analysis team that extends your security team

• Researches and investigates new global fraud technology & schemes

• Detailed incident reports

• Continuous product component checks

• Real-time alerts activated by phone, sms and email

• Optional site take-down: Phishing sites

• Phishing or brand-abuse sites

F5 Security Operations Center (SOC)Always on the watch


Secure Web Gateway – возможности для бизнеса

• Повышение продуктивности сотрудников (разрешен только «revenue-

related» Internet доступ)

• Детальное управление доступом к публичным web-ресурсам

• Гранулярность в правилах для одного ресурса (например, только чтение

Twitter)

• Аутентификация пользователей (например, не предоставлять Internet

доступ для не-аутентифицированных пользователей, вести логгирование

по каждому аутентифицированному пользователю при доступе на все

ресурсы)

• Предотвращение потери конфиденциальной информации

• Обнаружение и блокирование опасных web-сайтов или зараженных web

приложений


Secure Web Gateway vs Next Gen Firewall

Функционально

сть

Use Cases Производители

Secure Web Gateway Исходящие

пользовательские

соединения web и

Интернет –

приложения

Расширеная URL

фильтрация,

Контроль

приложений, Web

Malware

Мониторинг и

контроль

пользовательских

web приложений

Предотвращение

утечки информации

Websense

Bluecoat

Cisco

McAfee

Trustwave-M86

Next Generation

Firewall

Сетевые атаки и

DDoS, malware,

симметричный DPI

FW, IPS, DDoS,

базовая URL

фильрация

Углубленная

сетевая защита

PAN

Juniper

Cisco

Checkpoint

SonicWall

Source: Gartner 2013

Технологии NGFW и

Secure web gateway (SWG)

не являются

пересекающимися

Для построения

комплексной защиты

требуется использовать

обе технологии.


• Единое решение (BIG-IP или VIPRION), а не два узла

• Экономия на TCO 29% - 72%, в зависимости от сервиса (URL Filtering/SWG Services), длительности подписки (1 или 3 года), и количества пользователей

Консолидация инфраструктуры


Идентификация пользователей с F5 SWG

• Сопоставление идентификатора пользователя и сетевого адреса

• Контроль действий пользователей по идентификатору и устройству

• Активация прозрачных user-based политик безопасности

• Сопоставляет пользователя и устройство пользователя, проверяя его «чистоту»

• F5 User Identity Agent работают на Windows-based серверах и отсылают информацию из Active Directory Domain Controller

with

SWG

ServersActive Directory

URL Classification

Advanced Malware Detection

Web Filtering

F5 User Identity

Agent


URL категории

URL классифицируется и определяется в одну или несколько категорий

В каждой категории доступны подкатегории для более фрагментарного анализа

Возможность добавления собственных подкатегорий в категорию «Custom»

Каждая категория обладает уникальным Categoty-ID


URL подкатегории


URL фильтр


Advanced Threat Protection

BIG-IP Platform

with SWG

Devices

Data

Hacktivism

Malware

State Sponsored

Attacks

Attackers

Web Bots

Disallowed/Unapproved Web Apps

Inappropriate Websites

InsecureWebsites

DisallowedWebsites

InfectedWebsites

Infected Cloud Apps

Более 10,000 web

malware analytics

и

сигнатур/эвристи

ческих

анализаторов

Более 40

миллионов URLs

Свыше 5

Биллионо

в

запросов/

деньAdvanced Threat

Intelligence


Top категории


Запрещенные категории


Top URL


iApp -1/2


iApp -2/2

Подписка

Advanced Threat

Intelligence

URL Filtering• URL Classification signatures

• Connection to WSNS cloud for URL signature updates

• User identification (DC Agent and Logon Agent assisted detections)

• Customized URL categories (URL white/black lists)

• User based policy, reporting and logging

Secure Web Gateway• URL Filtering (Defined above)

• Web based malware and advanced threat protection

• ACE (Advanced Classification Engine) and social web application detection over HTTP/HTTPS

• User identification (DC Agent and Logon Agent assisted detections)

• User based policy, reporting and logging

with

SWG

ThreatSeeker

Intelligence

Cloud

ServersServersAD

URL Classification

Advanced Malware Detection

Web Filtering

Data for real-time URL classification& advanced malware detection


To stay in touch please join our LinkedIn Group!

Technology

Концепция целостной информационной безопасности F5 Networks