Upload
bakotech
View
489
Download
3
Embed Size (px)
Citation preview
Концепция целостной информационной безопасности F5 Networks
Борис Гехтман, [email protected]
© F5 Networks, Inc 2
Влияние DDoS на бизнес
Затраты на
защитные
мероприятия
Ущерб
репутации
Влияние DDoS
на бизнес
© F5 Networks, Inc 3
• DDoS сегодня используется как дымовая завеса для проведения целевых вторжений.
Современные атаки работаю с сразу на всех уровнях
Application
SSL
DNS
Network
DDoS атака скрыла кибер-ограбление на $900,000
Feb 13, 2013
© F5 Networks, Inc 4
Рынок решений защиты от DDoS
Оборудование в ЦОДе
заказчикаОблачные сервисыОператоры и CDN
F5 Networks, Arbor
Networks, Radware,
Narus, GenieNRM,
Andrisoft, RioRey
SMB: Neustar, BlackLotus, Corero,
Imperva
Enterprise: Prolexic, Verisign, F5 Silverline
DDoS Protection
Enterprise Secondary:F5 Silverline DDoS
Protection
AT&T
Verizon
Akamai
CloudFlare
© F5 Networks, Inc 5
Какую DDoS технологию использовать?
ОБЛАЧНЫЙ СЕРВИС
• «Удаленное» решение, атаки не достигают ЦОДа
• Операционные затраты разделены между сотнями заказчиком
• DNS anycast и множество ЦОДовсоздают дополнительный уровень защиты
ПРЕИМУЩЕСТВА
ЛОКАЛЬНАЯ ЗАЩИТА
• Полный контроль инфраструктуры
• Быстрая защита, понятная система отчетности
• Решения для защиты проектируются независимо одно от другого
ПРЕИМУЩЕСТВА
• Заказчики вынуждены платить вне зависимости атакуют их или нет
• Строгий SLA
• Решения сфокусированы на определенном уровне защиты
НЕДОСТАТКИ
• Множество точечных решений на рынке, всего лишь несколько полных
• Защиты от атак не превышающих размер канала
• Не приносит пользы. Очевидная польза только в момент атаки (F5 -исключение)
НЕДОСТАТКИ
ГИБРИДНАЯ МОДЕЛЬ ЗАЩИТЫ
• Комбинированная модель обычной и локальной защиты для отражения всех атак
• Операционные затраты разделены между сотнями заказчиков
• DNS anycast и множество ЦОДовсоздают дополнительный уровень защиты
• Быстрая защита, понятная система отчетности
• Контроль локальной инфраструктуры
• Решения для защиты проектируются независимо одно от другого
ПРЕИМУЩЕСТВА
© F5 Networks, Inc 6
F5 обеспечивает максимально полную защиту
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
Cloud Network Application
LegitimateUsers
DDoS Attackers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
ISPa/b
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
Networkand DNS
ApplicationHTTP attacks:
Slowloris,slow POST,
recursive POST/GET
Next-GenerationFirewall Corporate Users
SSL attacks:SSL renegotiation,
SSL floodFinancialServices
E-Commerce
Subscriber
Strategic Point of Control
© F5 Networks, Inc 7
Архитектуры центра очистки от DDoS
Tier 1
LegitimateUsers
DDoS Attackers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
Strategic Point of Control
InspectionToolsets
Scrubbing Center
Inspection Plane
Traffic ActionerRoute Management
Flow Collection
Portal
Switching Routing/ACL
SwitchingProxy and Asymmetric
Mitigation Tier
Routing(Customer VRF)
GRE Tunnel
Proxy
IP Reflection
X-Connect Customer
Data Plane
Netflow Netflow
Copied trafficfor inspection
BGP signaling
Signaling
Visibility
Management
Глобальное покрытие
Глобальное покрытие
Полностью резервированные
и глобально распределенный
ЦОДы в каждом гео-регионе– San Jose, CA US
– Ashburn, VA US
– Frankfurt, DE
– Singapore, SG
Максимальная в индустрии
пропускная полоса
• Пропускная способность
для отражения атак более
2 Tbps
• Очистка трафика более 1
Tbps
• Гарантированная
пропускная способность от
Поддержка 24/7
F5 Security Operations Center
(SOC) доступен 24/7 .
Эксперты по DDoS готовы
помочь в течении считанных
минут
© F5 Networks, Inc 9
F5 Silverline защита от DDoS
Always Available Ready DefenseAlways On
Основная защита доступная
по запросу
The Always Available
subscription runs on stand-
by and can be initiated
when under attack.
Запасной вариант защиты доступный при необходимости
The Ready Defense service runs on stand-by and can be initiated when under
attack as a secondary line of defense in addition to
a primary DDoSmitigation solution.
Первая линия защиты
The Always On subscription
stops bad traffic from ever
reaching your network by
continuously processing all
traffic through the cloud-
scrubbing service and
returning only legitimate
traffic to your network.
© F5 Networks, Inc 10
Как направить трафик в центр очистки?
Как получить трафик обратно?
AMAZON (AWS) DIRECT CONNECT
IP REFLECTION ™
GRE TUNNELS
PROXY
FIBER INTERCONNECT
BGP (BORDER GATEWAY PROTOCOL) ANYCAST
DNS / ANYCAST
© F5 Networks, Inc 11
Прозрачность и отчетность до, после и во время атаки
Быстрый доступ к деталям об атаках• Тип и размер атак
• IP origin
• Векторы атак
• Процесс защиты
• Взаимодействие с SOC
• Захват пакетов (pcap) доступ для
скачивания
Безопасное конфигурирование и управление услугами SOC, конфигурирование прокси и
маршрутизации, отчетность в режиме реального времени
© F5 Networks, Inc 12
Операторская
полоса и ваша
полоса
Thread jam
Перегрузка RAM
Перегрузка
процессора, RAM,
базы данных, атаки
на чрезмерное
логирование, флуд
соединений
Таблица сессий,
слишком много
соединений
Таблица сессий.
TCP Flood.
Негативное
кеширование
Обход прокси
Таблица сессий, IP
адреса,
Low & slow
Layer 7 –
Случайные
Layer 7 – Целевые
Таблица сессий,
производительность
фильтрации
ACL Perf.
1 Гбит/c =
1.488.096 CPS
Firewall DDoS Защита Ускорение
приложений
Балансировщик Веб серверы База данных
DDoS направлены на истощение ресурсов
© F5 Networks, Inc 13
Full-proxy архитектура
iRule
iRule
iRule
TCP
SSL
HTTP
TCP
SSL
HTTP
iRule
iRule
iRule
ICMP floodSYN flood
SSL renegotiation
DataleakageSlowloris attackXSS
NetworkFirewall
WAF WAF
© F5 Networks, Inc 14
Облачный центр очистки трафик в комбинации с локальной защитой
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
Cloud Network Application
LegitimateUsers
DDoS Attackers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
ISPa/b
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
Networkand DNS
ApplicationHTTP attacks:
Slowloris,slow POST,
recursive POST/GET
Next-GenerationFirewall Corporate Users
SSL attacks:SSL renegotiation,
SSL floodFinancialServices
E-Commerce
Subscriber
Strategic Point of Control
© F5 Networks, Inc 15
Облачный центр очистки трафик в комбинации с локальной защитой
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
Cloud Network Application
LegitimateUsers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
ISPa/b
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
Networkand DNS
ApplicationHTTP attacks:
Slowloris,slow POST,
recursive POST/GET
Next-GenerationFirewall Corporate Users
SSL attacks:SSL renegotiation,
SSL floodFinancialServices
E-Commerce
Subscriber
Strategic Point of Control
DDoS Attackers
• Защиты от емкостных атак в режиме реального времени
• Многоуровневая защита L3-L7
• 24x7 SOC
• Прозрачная отчетность
КЛЮЧЕВЫЕ МОМЕНТЫ
© F5 Networks, Inc 16
Облачный центр очистки трафик в комбинации с локальной защитой
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
Cloud Network Application
LegitimateUsers
DDoS Attackers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
ISPa/b
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
Networkand DNS
ApplicationHTTP attacks:
Slowloris,slow POST,
recursive POST/GET
Next-GenerationFirewall Corporate Users
SSL attacks:SSL renegotiation,
SSL floodFinancialServices
E-Commerce
Subscriber
Strategic Point of Control
• Контроль сетевого периметра L3-4
• Распределение нагрузки
• Репутационная база IP адресов
• Смягчает атаки небольшого объема
КЛЮЧЕВЫЕ МОМЕНТЫ
© F5 Networks, Inc 17
Облачный центр очистки трафик в комбинации с локальной защитой
Scanner Anonymous Proxies
Anonymous Requests
Botnet Attackers
Threat Intelligence Feed
Cloud Network
LegitimateUsers
DDoS Attackers
CloudScrubbing
Service
Volumetric attacks and floods, operations
center experts, L3-7 known signature attacks
ISPa/b
Multiple ISP strategy
Network attacks:ICMP flood,UDP flood,SYN flood
DNS attacks:DNS amplification,
query flood,dictionary attack,DNS poisoning
IPS
Networkand DNS
Next-GenerationFirewall Corporate Users
FinancialServices
E-Commerce
Subscriber
Strategic Point of Control
Application
ApplicationHTTP attacks:
Slowloris,slow POST,
recursive POST/GET
SSL attacks:SSL renegotiation,
SSL flood
КЛЮЧЕВЫЕ МОМЕНТЫ
• Глубокое понимание особенностей приложения
• Терминирование SSL
• Web application firewall
• Защиты от ассиметричных и SSL-атак
© F5 Networks, Inc 18
Анализатор или прокси?
или
Атака
Bridge Full proxy
© F5 Networks, Inc 19
Network DDoS, protocol timeout and SYN cookie
© F5 Networks, Inc 20
Network, DDoS Detection & MitigationBIG-IP AFM
DOS
Vectors
When to report an attack Relative Percent Increase in PPS
Detection Threshold
When to mitigate an attack Absolute Number in PPS
Mitigation Threshold
When to report an attack Absolute Number in PPS
Detection Threshold
DOS Categories
© F5 Networks, Inc 21
IP intelligence
service
IP address feed
updates every 5 min
Geolocation database
Botnet
Anonymous
requests
Anonymous
proxies
Scanner
Restricted
region or
country
Attacker
Custom
application
Financial
application
Internally infected devices and
servers
IP intelligence и гео-локация
Атаки UDP Amplification
DMZClients
LDNS Internet DNS Firewall inBIG-IP GTM
Data Center
DNS Servers
Apps
Considerations
• DNS или NTP могут использоваться для создания атак
• IP-spoofing легко создать, поэтому ACL не помогают
Борьба
• Высокопроизводительный DNS сервер
• Блокировка NXDOMAIN сообщений
© F5 Networks, Inc 23
• DNS службы находятся за периметром безопасности.
• DNS может обсуживаться из DMZ для сохранения независимости от приложений для которых он работает
• В случает отключения ЦОД, DNS все еще может быть доступен и перенаправлять запросы на резервную площадку.
• GSLB может использовать для оптимизации потоков данных (GeoIP)
• DNS DDoS функция в BIG-IP AFM
• Определяет DNS floods по типам записей
DNS DDoS
© F5 Networks, Inc 24
SSL !
SSL
SSL
SSL
Сессионный уровень, SSL инспекция и DDoS
• Понимание и детектирование атак на SSL
• SSL Offload снижения нагрузки
• Управление SSL сертификатами и ключами в едином месте
Полное терминация SSL траффика для анализа вложений защищает от вирусов и другого вредоносного ПО
© F5 Networks, Inc 25
HeartbleedConnecting...Sending Client Hello...Waiting for Server Hello...... received message: type = 22, ver = 0302, length = 58... received message: type = 22, ver = 0302, length = 1049... received message: type = 22, ver = 0302, length = 525... received message: type = 22, ver = 0302, length = 4Sending heartbeat request...... received message: type = 24, ver = 0302, length = 16384Received heartbeat response:
0380: 0A 20 20 20 20 3C 69 74 65 6D 3E 72 6F 6F 74 3C . <item>root<0390: 2F 69 74 65 6D 3E 0A 20 20 20 20 3C 69 74 65 6D /item>. <item03a0: 3E 61 64 6D 69 6E 3C 2F 69 74 65 6D 3E 0A 20 20 >admin</item>. 03b0: 20 20 3C 69 74 65 6D 3E 68 65 61 72 74 62 6C 65 <item>heartble03c0: 65 64 5F 75 73 65 72 3C 2F 69 74 65 6D 3E 0A 20 ed_user</item>. 03d0: 20 20 3C 2F 75 73 65 72 5F 6E 61 6D 65 73 3E 0A </user_names>.03e0: 20 20 3C 2F 6E 73 31 3A 67 65 74 5F 65 6E 63 72 </ns1:get_encr03f0: 79 70 74 65 64 5F 70 61 73 73 77 6F 72 64 3E 0A ypted_password>.0400: 20 3C 2F 73 6F 61 70 65 6E 76 3A 42 6F 64 79 3E </soapenv:Body>0410: 0A 3C 2F 73 6F 61 70 65 6E 76 3A 45 6E 76 65 6C .</soapenv:Envel
WARNING: server returned more data than it should - server is vulnerable!
© F5 Networks, Inc 26
Heartbleed
© F5 Networks, Inc 27
• Браузер взаимодействует с веб-приложением
• Посылает HTTP запросы
• Получает HTML станицы
• На любом уровне веб приложения данными могут манипулировать, красть или удалять.
• Без целевой защиты, дыры и уязвимости появляются каждый день
DDoS, Веб-приложенияDATA
DATABASE SERVER
BACKEND SERVER
APPLICATION SERVER
CGI SCRIPT
WEB SERVER
HTTP REQUEST
HTTP RESPONSE
© F5 Networks, Inc 28
HTTP Pipelining
GET /download/doc.pdf?121234234fgsefasdfl11 HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf? qXs5udkLDd7DNG9ub HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf?DLGgun1nEmfm5eid76 HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\nGET /download/doc.pdf? 6ndfTygZPImXsNW22a HTTP/1.1\r\nHost: www.xxxxyyyyzzzz.com\r\nUser-Agent: Mozilla/4.0\r\nConnection: keep-alive\r\n
Случайные значения параметров
Позволяют обойти сигнатуры и кэши
© F5 Networks, Inc 29
Ассиметричные атаки, еще пара слов о DDoS
ЗащитаАтака
© F5 Networks, Inc 30
Ассиметричные атаки, еще пара слов о DDoS
ЗащитаАтака
© F5 Networks, Inc 31
Top 10 – 2010 (Previous) Top 10 – 2013 (New)
A1 – Injection A1 – Injection
A2 – Cross-Site Scripting (XSS) A2 – Broken Auth & Session Management
A3 – Broken Auth & Session Management A3 – Cross-Site Scripting (XSS)
A4 – Insecure Direct Object References A4 – Insecure Direct Object References
A6 – Security Misconfiguration A5 – Security Misconfiguration
A7 – Insecure Cryptographic Storage Merged w/ A9 A6 – Sensitive Data Exposure
A8 – Failure to Restrict URL Access – Broadened A7 – Missing Function Level Access Control
A5 – Cross-Site Request Forgery (CSRF) A8 – Cross-Site Request Forgery (CSRF)
<buried in A6: Security Misconfiguration> A9 – Using Known Vulnerable Components
A10 – Unvalidated Redirects and Forwards A10 – Unvalidated Redirects and Forwards
A9 – Insufficient Transport Layer Protection Merged with 2010-A7 into new 2013-A6
Новая редакция Top 10
© F5 Networks, Inc 32
Иллюстрация SQL вставки
Firew
all
Hardened OS
Web Server
App Server
Firew
all
Data
bases
Legacy
Sys
tem
s
Web S
erv
ices
Directo
ries
Hum
an R
esrc
s
Bill
ing
Custom Code
APPLICATION ATTACK
Netw
ork
Layer
Applic
ation L
ayer
Accounts
Fin
ance
Adm
inis
tra
tion
Tra
nsactions
Com
munic
ation
Know
ledge M
gm
t
E-C
om
merc
e
Bus. F
unctions
HTTP
request
SQL
query
DB Table
HTTP
response
"SELECT * FROM
accounts WHERE acct=‘’
OR 1=1--’"
1. Приложение имеет легитимную форму
ввода
2. Хакер вставляет в него код атаки
3. Приложение передает атаку в базу
данных через SQL запрос
Account Summary
Acct:5424-6066-2134-4334
Acct:4128-7574-3921-0192
Acct:5424-9383-2039-4029
Acct:4128-0004-1234-0293
4. База данных выполняет запрос и
отправляет результат обратно на сервер
5. Сервер обрабатывает данные как
нормальные и передает результат
пользователю.
Account:
SKU:
Account:
SKU:
© F5 Networks, Inc 33
© F5 Networks, Inc 34
На что нужно обратить внимание
при выборе подобной системы?
© F5 Networks, Inc 35
Автоматическое создание политики
• Автоматическое построение и управление политиками
• Анализ входящих и исходящий потоков данных
• Статистический и эвристический движок
• Обновления сайта
© F5 Networks, Inc 36
Скрытие ресурсов
© F5 Networks, Inc 37
Высокая производительность
• Целевое производительное аппаратное обеспечение
• Виртуалкам тут не место
• SSL off-load, истощение CPU
© F5 Networks, Inc 38
RFC Enforcement
• У нас нет гарантий, что все компоненты следуют RFC
• Нельзя доверять никому
• Защита в соответствии с RFC
© F5 Networks, Inc 39
Сигнатурный анализ
• Все еще является эффективным методом
• Защита от известных уязвимостей
© F5 Networks, Inc 40
Encrypted Cookie
• Не доверяйте пользователю
• Еще одна форма манипуляции параметрами
• Зашифрованная кука – защищенная работа WAF
© F5 Networks, Inc 41
Анализ параметров
• Не доверяйте пользователю
• WAF знает лучше
© F5 Networks, Inc 42
А что насчет защиты пользователей?
© F5 Networks, Inc 44
Браузер самое слабое звеноEnd point risks to “Data In Use”
Customer browser
HTTP/HTTPS
Secured
Data center
Web Fraud Detection
WAF
HIPS
Traffic Management
NIPS
DLP
Network firewall
SIEM
Leveraging
Browser
application
behavior• Caching content,
disk cookies, history
• Add-ons, Plug-ins
Manipulating
user actions:• Social engineering
• Weak browser
settings
• Malicious data theft
• Inadvertent data
loss
Embedding
malware:• Keyloggers
• Framegrabbers
• Data miners
• MITB / MITM
• Phishers / Pharmers
© F5 Networks, Inc 45
Anti-fraud, Anti phishing, Anti- malware services
Clientless solution, enabling 100%
coverage
Защита
пользователей
Desktop, tablets & mobile devices
На всех
устройствах
No software or user involvement required
Полная
прозрачность
Targeted malware, MITB, zero-days, MITM, phishing
automated transactions…
Предотвратить
Fraud
Alerts and customizable rules
В реальном
времени
© F5 Networks, Inc 46
Определение и защита от malware
3
OnlineCustomers
Web Fraud Protection
+ Honeypots for Generic Malware+ App-Level Encryption
+ Advanced Phishing Detection+ Real-Time Transaction
MonitoringLTM WEBSAFE
BIG-IP
Platform
BIG-IP Local Traffic Manager
BETTER BEST
Simplified Business Models
+ WebSafe
GOOD
2
1
SecurityOperations Center
NetworkFirewall
ApplicationMan-in-the-Browser Attacks
1. Malware detection
component assesses user
device ID, checks SSL
2. Validity, and ensures HTTPS
connection is secure
3. Any anomalies trigger an
alert. Encryption component
renders any stolen data
worthless to an attacker
HOW IT WORKS
© F5 Networks, Inc 47
• Alerts of extensive site copying or scanning
• Alerts on uploads to a hosting server or company
• Alerts upon login and testing of phishing site
• Shuts down identified phishing server sites during testing
Определение и предотвращение фишингаIdentifies phishing threats early-on and stops attacks before emails are sent
Internet
Web Application
2. Save copy to computer
3. Upload copy to spoofed site
4. Test spoofed site
1. Copy website
Alerts at each stage of
phishing site development
© F5 Networks, Inc 48
Предотвращение автоматических транзакций
Account
Amount
Transfer Funds
OnlineCustomers
2
Web Fraud Protection
+ Honeypots for Generic Malware+ App-Level Encryption
+ Advanced Phishing Detection+ Real-Time Transaction
MonitoringLTM WEBSAFE
BIG-IP
Platform
BIG-IP Local Traffic Manager
BETTER BEST
Simplified Business Models
+ WebSafe
GOOD
2
1
SecurityOperations Center
NetworkFirewall
Application
1. F5 adds hidden JavaScript
code to web page served to
online customer
2. F5 actively monitors user
behavior interacting with the
web page
3. If anomalous behavior is
detected, an alert is triggered
HOW IT WORKS
© F5 Networks, Inc 49
• 24x7x365 fraud analysis team that extends your security team
• Researches and investigates new global fraud technology & schemes
• Detailed incident reports
• Continuous product component checks
• Real-time alerts activated by phone, sms and email
• Optional site take-down: Phishing sites
• Phishing or brand-abuse sites
F5 Security Operations Center (SOC)Always on the watch
© F5 Networks, Inc 50
Secure Web Gateway – возможности для бизнеса
• Повышение продуктивности сотрудников (разрешен только «revenue-
related» Internet доступ)
• Детальное управление доступом к публичным web-ресурсам
• Гранулярность в правилах для одного ресурса (например, только чтение
Twitter)
• Аутентификация пользователей (например, не предоставлять Internet
доступ для не-аутентифицированных пользователей, вести логгирование
по каждому аутентифицированному пользователю при доступе на все
ресурсы)
• Предотвращение потери конфиденциальной информации
• Обнаружение и блокирование опасных web-сайтов или зараженных web
приложений
© F5 Networks, Inc 51
Secure Web Gateway vs Next Gen Firewall
Функционально
сть
Use Cases Производители
Secure Web Gateway Исходящие
пользовательские
соединения web и
Интернет –
приложения
Расширеная URL
фильтрация,
Контроль
приложений, Web
Malware
Мониторинг и
контроль
пользовательских
web приложений
Предотвращение
утечки информации
Websense
Bluecoat
Cisco
McAfee
Trustwave-M86
Next Generation
Firewall
Сетевые атаки и
DDoS, malware,
симметричный DPI
FW, IPS, DDoS,
базовая URL
фильрация
Углубленная
сетевая защита
PAN
Juniper
Cisco
Checkpoint
SonicWall
Source: Gartner 2013
Технологии NGFW и
Secure web gateway (SWG)
не являются
пересекающимися
Для построения
комплексной защиты
требуется использовать
обе технологии.
© F5 Networks, Inc 52
• Единое решение (BIG-IP или VIPRION), а не два узла
• Экономия на TCO 29% - 72%, в зависимости от сервиса (URL Filtering/SWG Services), длительности подписки (1 или 3 года), и количества пользователей
Консолидация инфраструктуры
© F5 Networks, Inc 53
Идентификация пользователей с F5 SWG
• Сопоставление идентификатора пользователя и сетевого адреса
• Контроль действий пользователей по идентификатору и устройству
• Активация прозрачных user-based политик безопасности
• Сопоставляет пользователя и устройство пользователя, проверяя его «чистоту»
• F5 User Identity Agent работают на Windows-based серверах и отсылают информацию из Active Directory Domain Controller
with
SWG
ServersActive Directory
URL Classification
Advanced Malware Detection
Web Filtering
F5 User Identity
Agent
© F5 Networks, Inc 54
URL категории
URL классифицируется и определяется в одну или несколько категорий
В каждой категории доступны подкатегории для более фрагментарного анализа
Возможность добавления собственных подкатегорий в категорию «Custom»
Каждая категория обладает уникальным Categoty-ID
© F5 Networks, Inc 55
URL подкатегории
© F5 Networks, Inc 56
URL фильтр
© F5 Networks, Inc 57
Advanced Threat Protection
BIG-IP Platform
with SWG
Devices
Data
Hacktivism
Malware
State Sponsored
Attacks
Attackers
Web Bots
Disallowed/Unapproved Web Apps
Inappropriate Websites
InsecureWebsites
DisallowedWebsites
InfectedWebsites
Infected Cloud Apps
Более 10,000 web
malware analytics
и
сигнатур/эвристи
ческих
анализаторов
Более 40
миллионов URLs
Свыше 5
Биллионо
в
запросов/
деньAdvanced Threat
Intelligence
© F5 Networks, Inc 58
Top категории
© F5 Networks, Inc 59
Запрещенные категории
© F5 Networks, Inc 60
Top URL
© F5 Networks, Inc 61
iApp -1/2
© F5 Networks, Inc 62
iApp -2/2
Подписка
Advanced Threat
Intelligence
URL Filtering• URL Classification signatures
• Connection to WSNS cloud for URL signature updates
• User identification (DC Agent and Logon Agent assisted detections)
• Customized URL categories (URL white/black lists)
• User based policy, reporting and logging
Secure Web Gateway• URL Filtering (Defined above)
• Web based malware and advanced threat protection
• ACE (Advanced Classification Engine) and social web application detection over HTTP/HTTPS
• User identification (DC Agent and Logon Agent assisted detections)
• User based policy, reporting and logging
with
SWG
ThreatSeeker
Intelligence
Cloud
ServersServersAD
URL Classification
Advanced Malware Detection
Web Filtering
Data for real-time URL classification& advanced malware detection
© F5 Networks, Inc 64
To stay in touch please join our LinkedIn Group!